` ` 
在 线 学 习 资 料 支 持 
您 可 以 在 华为 企业 业务 网 站 获得 ELearning 课 程 、 培 训 教材 、 产 品 资料 、 软 件 工具 、 技 术 案 例 等 : 
1、E-Learning 课 程 : XR EZ ZEE. VEN "AE I" HB 
免费 E-Learning 课 : 对 网 站 所 有 用 户 免费 开放 
职业 认证 E-Learning 课 : 通过 任何 一 项 职业 认证 即 可 学 习 所 有 职业 认证 培训 E-Learning 课 程 
渠道 赋 能 E-Learning 课 : 对 华为 企业 业务 合作 伙伴 免费 开放 
2、 培 训 教材 : SREAZAF IT Mi, tr “EHME” , EARN AAA PRAMS 
华为 职业 认证 培训 教材 、 华 为 产品 技术 培训 教材 。 无 需 注册 即 可 下 载 
3、 华 为 在 线 公 开课 (LVC): http://support.huawei.com/ecommunity/bbs/10154479.html 
企业 网 络 、UC&C、 安 全 、 存 储 等 诸多 领域 的 职业 认证 课程 ， 华 为 讲师 公开 授课 
4、 产 品 资料 下 载 : SE EE cV 二 
5. RHIAPR: http://support.huawei.com/enterprise/#tabname=softwaredewnload 











更 多 内 容 请 访问 : 
o http://learning.huawei.com/cn 
a http://support.huawei.com/enterprise/ 
o http://support.huawei.com/ecommunity/ 
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华为 认证 体系 介绍 


依托 华为 公司 雄厚 的 技术 实力 和 专业 的 培训 体系 ， 华 为 认证 考虑 到 不 同 客户 
对 ICT 技 术 不 同 层次 的 需求 ， 致 力 于 为 客户 提供 实战 性 、 专 业 化 的 技术 认证 。 


根据 ICT 技 术 的 特点 和 客户 不 同 层次 的 需求 ， 华 为 认证 为 客户 提供 面向 二 三 
个 方向 的 四 级 认证 体系 。 X 


HCNA(HCDA) 认 证 定位 于 中 小 型 网 络 的 基本 配置 和 维护 。HCNA(HCDA) 
认证 包括 但 不 限于 :网 络 基 础 知识 流行 网 络 的 基本 连接 方法 基本 的 网 络 建造 ; 
基本 的 网 络 故 障 排 除 ; 华为 路 由 交换 设备 的 安装 和 调试 。 通 过 CNA(HCDA) 
认证 ,将 证 明 您 对 中 小 型 网 络 有 初步 的 了 解 ， 了 解 面向 中 小 型 企业 的 网 络 通 用 技 
术 ， 并 具备 协助 设计 中 小 企业 网 络 以 及 使 用 华为 路 由 交换 设备 实施 设计 的 能 力 。 
拥有 通过 HCNA(HCDA) 认 证 的 工程 师 ,意味 着 中 小 企业 有 能 力 完成 基本 网 络 搭 
建 ， 并 将 基本 的 语音 、 无 线 、 云 、 安 全 和 存储 集成 到 网 络 之 中 ， 满 足 各 种 应 用 对 
网 络 的 使 用 需求 。 


HCNP-Enterprise (HCDP-Enterprise) 认 证 定位 于 中 小 型 网 络 的 构建 和 管 

#2, HCNP-Enterprise (HCDP-Enterprise) 认 证 包括 但 不 限于 :网 络 基础 知识 ; 
交换 机 和 路 由 器 原理 ; TCP/IP 协议 艇 ;路 由 棒 议 SS 访问 控制 ;网 络 故障 的 排除 ; 
华为 路 由 交换 设备 的 安装 和 调试 。 通 过 HCNP-Enterprise (HCDP-Enterprise) 
认证 ,将 证 明 您 对 中 小 型 网 络 有 全 面 深入 的 子 解 ,掌握 面向 中 小 型 企业 的 网 络 通 
用 技术 ,并 具备 独立 设计 中 小 企业 网 络 以 及 使 用 华为 路 由 交换 设备 实施 设计 的 能 
力 。 拥 有 通过 HCNP-Enterprise (HGDP-Enterprise) 认 证 的 工程 师 ， 意味 着 中 
小 企业 有 能 力 完成 完整 网 络 的 搭建 \, 将 企业 中 所 需 的 语音 、 无 线 、 云 、 安 全 和 存 
储 全 面 地 集成 到 网 络 之 中 ， 并 且 能 满足 各 种 应 用 对 网 络 的 使 用 需求 ， 进 而 提供 较 
高 的 安全 性 、 可 用 性 和 可 靠 性 。 


HCIE-Enterprise 认证 定位 于 大 中 型 复杂 网 络 的 构建 、 优 化 和 管理 。 
HCIE-Enterprise 认证 包括 但 不 限于 : 不 同 网 络 和 各 种 路 由 器 交换 机 之 间 的 互联 ; 
复杂 连接 问题 的 解决 si 使 用 技术 解决 方案 提高 带宽 、 缩 短 相应 时 间 、 最 大 限度 地 
提高 性 能 、 加 强 安 全 性 和 支持 全 球 应 用 ; 复杂 网 络 的 故障 排除 。 通 过 
HCIE-Enterprise 认证 ， 将 证 明 您 对 大 型 网 络 有 全 面 深入 的 了 解 ， 掌 握 面向 大 型 
企业 网 络 的 技术 ;着 有 具备 独立 设计 各 种 企业 网 络 以 及 使 用 华为 路 由 交换 设备 实施 
设计 的 能 力 人 拥有 通过 HCIE-Enterprise 认证 的 工程 师 ,意味 着 大 中 企业 有 能 
独立 完成 完整 的 网 络 搭建 ， 将 企业 中 所 需 的 语音 、 无 线 、 云 、 安 全 和 存储 全 面 地 
集成 到 网 络 之 中 , 并且 能 满足 各 种 应 用 对 网 络 的 使 用 需求 ;能 够 提供 完整 的 故障 
排除 能 力 ; 能 根据 企业 和 网 络 技术 的 发 展 ,规划 企业 网 络 的 发 展 ， 并 提供 高 安全 
性 、 可 用 性 和 可 靠 性 。 


华为 认证 协助 您 打开 行业 之 窗 ,开启 改变 之 门 ,屹立 在 ICT 世 界 的 潮 头 浪 尖 ! 
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实验 环境 说 明 
组 网 介绍 


本 实验 环境 面向 准备 HCDP-IENP 考 试 的 网 络 工程 师 ， 实 验 设备 包括 路 由 器 5 合 、 交 
换 机 4 台 ， 防 火 墙 2 台 。 每 套 实验 环境 适用 于 2 名 学 员 同 时 上 机 操作 。 


设备 介绍 


为 了 满足 HCDP-IENP 实 验 需 要 ， 建 议 每 套 实 验 环境 采用 以 下 配置 : 


设备 名 称 、 型 号 与 版 本 的 对 应 关系 如 下 : 






































设备 名 称 设备 型 号 软件 版 本 
R1 AR 2220 Version 5:90 ( V200R001C01SPC300) 
R2 AR 2220 Version 5.90 ( V200R001CO1SPC300) 
R3 AR 2220 Version 5.90 ( V200R001CO1SPC300) 
R4 AR 1220 Version 5.90 ( V200R001C01SPC300) 
R5 AR 1220 Version 5.90 ( V200R001C01SPC300) 
S1 $5700-28G-EI-24S Version 5.70 (V100ROO6COOSPC800) 
S2 $5700-28C-EI-24S Version 5.70 (V100R006COOSPC800) 
S3 $3700-28TP-EI-AC Version 5.70 (V100ROO6COOSPC800) 
S4 S3700-28TP-EI-AC Version 5.70 (V100R006C00SPC800) 
FW1 USG2160 Version 5.30 (V300R001C00SPC700) 
FW2 USG2160 Version 5.30 (V300R001C00SPC700) 
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HCDP-IENP 第 一 章 防火 墙 特性 功能 


第 一 章 防火 墙 特性 功能 
实验 1-1 USG 防火 墙 安全 区 域 及 其 他 基本 功能 配置 
学 习 目 的 € 
。 “学 握 防 火 墙 安全 区 域 的 配置 方法 
。 “学 握 域 间 包 过 滤 的 配置 方法 
。 “掌握 在 静态 与 动态 配置 黑 名 单 的 方法 


。 ”掌握 黑 名 单 的 配置 方法 


拓扑 图 


FW 








E0/0/0 
E2/0/0 


G0/0/22 


coor `. DMZ 


10.0.20`g/24 
` 





3 [coon `` "ass. 


图 1-1 USG 防 火 墙 区 域 配置 
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HCDP-IENP 第 一 章 防火 墙 特性 功能 
场景 
= 


你 是 你 们 公司 的 网 络 管理 员 。 公 司 总 部 的 网 络 分 成 了 三 个 区 域 ， 包 括 内 部 区 
域 (Trust ) 、 外 部 区 域 ( Untrust ) 和 服务 器 区 域 ( DMZ ) 。 你 设计 通过 防火 
墙 来 实现 对 数据 的 控制 ， 添 加 黑 名 单 来 防范 网 络 攻击 ， 确 保 公 司 内 部 网 络 安全 。 


学 习 任 务 € 


步骤 一 . 基本 配置 与 IP 编 址 


给 三 个 路 由 器 配置 地 址 信息 。 


<Huawei>system-view 

Enter system view, return user view with Ctrl+Z. 
Huawei]sysname R1 

Rl]interface GigabitFthernet 0/0/1 


[ 
[ 
[R1-GigabitEthernet0/0/1]ip address 10.0.10.1 24 
[R1-GigabitEthernet0/0/1l]interface loopback @ 

[ 


Rl-LoopBack0]ip address 10.0.1.1 24 


<Huawei>system-view 

Enter system view, return user view with, Ctrl-*Z. 
Huawei]sysname R2 

R2]interface GigabitEthernet0/0/1 


[ 
[ 
[R2-GigabitEthernet0/0/1]ip address 10.0.20.1 24 
[R2-GigabitEthernet0/0/1]inteérface loopback 0 

[ 


R2-LoopBack0]ip address,1⁄0.0.2,2 24 
<Huawei>system-view 

Enter system view, return user view with Ctrl+Z. 
Huawei]sysname R3 


R3]interface GigabitEthernet 0/0/1 


R3-GigabitEthernet0/0/1]interface loopback 0 





[ 
[ 
[R3-GigabitEthernetQ/0/1]ip address 10.0.30.1 24 
[ 
[ 


R3-LoopBack0]ip/address 10.0.3.3 24 


给 防火 墙 配置 地 址 时 ， 需 要 注意 Ethernet1/0/0 接 口 为 二 层 交 换 机 接口 ， 无 
法 配置 IP 地 址 。 实 验 中 我 们 在 防火 墙 上 配置 VLAN12， 定义 Vlanif12， 配置 IP 地 
址 作为 Inside 区 域 的 网 关 。 


由 于 默认 情况 下 ， 防火墙 会 给 它 的 Vlani 人 配置 地 址 ,实验 中 为 避免 干扰 , BJ 
除 该 配置 。 
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HCDP-IENP 第 一 章 防火 墙 特性 功能 
<USG2100>system-view 


Enter system view, return user view with Ctrl+Z. 


USG2100]sysname FW 
FW]vlan 12 
FW-vlan-12] quit 
FW]interface vlanif 12 


FW-Vlanifl2]ip address 10.0.20.254 24 





FW-Vlanif12] quit 
FW]interface Ethernet 1/0/0 


FW 
FW 
FW 
FW 


FW 











S 
S 
S 
S 
S 
S 
S 
S 
S 
S 
S 
S 
S 
S 
S 
S 
S 
S 
S 





FW-Ethernet1/0/0 


-Ethernet1/0/0 


1 


Ethernet0/0/0 
Ethernet0/0/0 


l 


Ethernet2/0/0 
Ethernet2/0/0 








port access vlan 12 

interface Ethernet 0/0/0 
ip address 10.0.10.254 24 
interface ethernet 2/0/0 
ip address 10.0.30.254 24 


quit 


FW]interface Vlanif 1 


FW-Vlanifl]undo ip address 


交换 机 上 需要 按照 需求 定义 VLAN。 


Quidway]sysname S1 


]vlan batch 11 to 13 


] interface GigabitEthernet 0/0/1 


-Gigabit 
-Gigabit 
-Gigabit 
-Gigabit 
-Gigabit 
-Gigabit 
-Gigabit 
-Gigabit 
-Gigabit 
-Gigabit 
-Gigabit 
-Gigabit 


Ethernet0/0/1 
Ethernet0/0/1 
Ethernet0/0/1 
Ethernet0/0/2 
Ethernet0/0/2 
Ethernet0/0/2 
Ethernet0/0/3 
Ethernet0/0/3 
Ethernet OW0/3 
Ethernet0/0/2 
Ethernet 0/0/2 
Ethernet0/0/2 





-Gigabit&thernet0/0/22 


-Gigabit 
-Gigabit 


Ethernet0/0/22 





Ethetnet0/0/22 


-GigabitEthernet0/0/23 


-GigabatEthernet0/0/23 


port link-tyBe access 

port default vlan 11 

interfaGe GigabitEthernet 0/0/2 
port link-type access 

port default vlan 12 

inte*fíace GigabitEthernet 0/0/3 
portglink-type access 

port default vlan 13 

nterface GigabitEthernet 0/0/21 
port link-type access 

port default vlan 11 

interface GigabitEthernet 0/0/22 
port link-type access 

port default vlan 12 

interface GigabitEthernet 0/0/23 


port link-type access 





port default vlan 13 


防火 墙 上 默认 有 四 个 区 域 ， 分 别 是 “local ". " trust ", " untrust ", ” 
dmz“。 实 验 中 我 们 使 用 到 “trust“、”untrust“ 和 ”dmz“ 三 个 区 域 ， 分 别 
将 对 应 接口 加 入 各 安全 区 域 。 
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FW]firewall zone dmz 

FW-zone-dmz]add interface Ethernet 2/0/0 
FW-zone-dmz] firewall zone trust 
FW-zone-trust]add interface Vlanif 12 


FW-zone-trust]firewall zone untrust 








FW-zone-untrust]add interface Ethernet 0/0/0 


查看 默认 情况 下 ， 区 域 之 间 是 否 可 以 正常 通讯 。 kW 
[FW]display firewall packet-filter default all 
10:28:18 2011/12/24 
Firewall default packet-filter action is 
packet-filter in public: 
local => trust 
inbound : default: permit; || IPv6-acl: null 
outbound : default: permit; || IPv6-acl: null 
local => untrust : 
inbound : default: deny; || IPv6-acl: null 
outbound : default: permit; || IPv6-acl: ùll 
local -> dmz 
inbound : default: deny; || IPv6-acl :ma 
outbound : default: BemEmEB; || IPv6gmsW_¿ null 
trust => untrust : 
inbound : default: deny; || IPv6qacl: null 
outbound : default: deny; || IRy6-acl: null 


trust => dma 


inbound : default: deny; || IBv6-acl: null 

outbound : default: deny; leIPv6-acl: null 
dmz => untrust : 

inbound : default: Teny; |] XPvé-acl: null 

outbound : defaults deny; || IPv6-acl: null 


packet-filter between VFW: 


由 以 上 显示 的 内 容 看 出 ， 缺 省 情况 下 ，Local 安 全 区 域 和 Trust 安全 区 域 间 的 
所 有 方向 都 爷 许 报 文 通过 ，Local 安 全 区 域 和 Untrust 安 全 区 域 出 方向 ，Local 安 
全 区 域 和 DMZ 安 全 区 域 出 方向 允许 报 文 通过 ， 其 他 区 域 间 所 有 方向 都 不 允许 报 
文通 过 人 

验证 区 域 之 间 的 连通 性 。 

Untrust 区 域 到 Trust 区 域 。 


<R1>płng -a 10.0.1.1 10.0.2.2 
BING 10.0.2.2: 56 data bytes, press CTRL C to break 


第 4 页 HUAWEI TECHNOLOGIES HC Series 





HCDP-IENP 第 一 章 防火 墙 特性 功能 


Request time out 
Request time out 
Request time out 
Request time out 


Request time out 


=== 10.0.,2,.,2 ping Statistics === 
5 packet(s) transmitted NW 
0 packet(s) received 


100.00% packet loss 


Untrust 区 域 到 DMZ 区 域 。 


<R1>ping -a 10.0.1.1 10.0.3.3 
PING 10.0.3.3: 56 data bytes, press CTRL C to break 
Request time out 
Request time out 
Request time out 
Request time out 


Request time out 


=== 10.0.2.3 ping Statistics === 
5 packet(s) transmitted 
0 packet(s) received 


100.00$ packet loss 


Trust 区 域 到 Untrust 区 域 。 


<R2>ping -a 10.0.2.2 10.0.141 
PING 10.0.1.1: 56 data*bytes,;*press CTRL C to break 
Request time out 
Request time out 
Request time out 
Request time/fowt 


Request time*out 


--- I0.0£1.1 Pang statistics --- 
5 packet(S$9), transmitted 
0 packet(s) received 


100790$ packet loss 


Trust 区 域 到 DMZ 区 域 。 


<R2>ping -a 10.0.2.2 10.0.3.3 
PING 10.0.3.3: 56 data bytes, press CTRL C to break 
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Request time out 
Request time out 
Request time out 
Request time out 


Request time out 


=== 10,059.38 Ding Statistics === 
5 packet(s) transmitted 
0 packet(s) received 


100.00% packet loss 


DMZ 区 域 到 Untrust 区 域 。 


<R3>ping -a 10.0.3.3 10.0.1.1 


PING 10.0.1.1: 56 data bytes, press CTRL_C to break 


Request time out 
Request time out 
Request time out 
Request time out 


Request time out 


=== 10.0.1.1 ping statistics === 
5 packet(s) transmitted 
0 packet(s) received 


100.00$ packet loss 


DMZ 区 域 到 Trust 区 域 。 


<R3>ping -a 10.0.3.3 10.0.2.2 


PING 10.0.2.2: 56 data bytes, press CTRL C to break 


Request time out 
Request time out 
Request time/out 
Request time*out 


Request time out 


=== 10.0.2. ping statistics === 
5 packet(s) transmitted 
0 p&eket fs) received 


400.00% packet loss 


在 FW 设 备 上 测试 到 R1 Ri ，R3 的 连通 性 。 


[FW]ping 10.0.10.1 


kg 
d 
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PING 10.0.10.1: 56 data bytes, press CTRL C to break 


Request time out 


Reply from 10.0.10.1: bytes=56 Sequence=2 ttl=255 time=1 ms 
Reply from 10.0.10.1: bytes=56 Sequence=3 ttl=255 time=1 ms 
Reply from 10.0.10.1: bytes=56 Sequence=4 ttl=255 time=1 ms 
Reply from 10.0.10.1: bytes=56 Sequence=5 ttl=255 time=1 ms 
===- 10.0.10.1 pine statistics === NW 


5 packet(s) transmitted 
4 packet(s) received 
20.00% packet loss 


round-trip min/avg/max = 1/1/1 ms 


[FW]ping 10.0.20.1 

PING 10.0.20.1: 56 data bytes, press CTRL C to break 
Request time out 
Reply from 10.0.20. bytes-56 Sequence-2 ttl-255 time-1 ms 
Reply from 10.0.20. bytes-56 Sequence-3 tti=255 time-1 ms 


Reply from 10.0.20. bytes-56 Sequence-4 tth=255 time-1 ms 





PoP P m 


Reply from 10.0.20. bytes=56 Sequence=5" Lttl=255 time-1 ms 
=== 10.0.20.1 ping statistics === 

5 packet(s) transmitted 

4 packet(s) received 

20.00% packet loss 


round-trip min/avg/max = 1/1/1l ms 


[FW]ping 10.0.30.1 

PING 10.0.30.1: 56 datagbytes press CTRL C to break 
Request time out 
Reply from 10.0.30¢ bytes-56 Sequence=2 ttl-255 time-1 ms 
Reply from 10.0.30- bytes-56 Sequence-3 ttl-255 time-1 ms 


Reply from 1070.30. bytes-56 Sequence-4 ttl-255 time-1 ms 





PP P Bp 


Reply from 10.0.30% bytes-56 Sequence-5 ttl1-255 time-1 ms 
=== l10.0430.1WÑing statistics === 

5 packet (sl transmitted 

4 packet(s) received 

20.00% packet loss 


round-trip min/avg/max = 1/1/1 ms 


在 R1、R2 和 R3 上 配置 缺 省 路 由 ， 在 FW 上 配置 明确 的 静态 路 由 ， 配 置 区 域 之 
间 的 缺 省 包 过 滤 策略 为 允许 所 有 ， 实 现 三 个 Loopback0 接 口 连 接 的 网 段 之 间 的 
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Rl]ip route-static 0.0.0.0 0 10.0.10.254 
R2]ip route-static 0.0.0.0 0 10.0.20.254 
R3]ip route-static 0.0.0.0 0 10.0.30.254 


FW]ip route-static 10.0.1.0 24 10.0.10. X 
FW]ip route-static 10.0.2.0 24 10.0.20. 





FW]ip route-static 10.0.3.0 24 10.0.30. 











FW] firewall packet-filter default permit all 


配置 完成 后 ， 测 试 各 路 由 器 Loopback0 接 口 连接 的 网 段 之 间 的 通讯 情 ， 


[Rl]ping -a 10.0.1.1 10.0.2.2 

PING 10.0.2.2: 56 data bytes, press CTRL C to break 
Reply from 10.0.2.2: bytes=56 Sequence=1 ttl=254 time=3 ms 
Reply from 10. bytes-56 Sequence-2 ttl2254.time-3 ms 
Reply from 10. 


Reply from 10. bytes-56 Sequence-4 ttl-254 time-2 ms 





ao CQ oO c 


2 

2.2 

.2.2: bytes-56 Sequence-3 ttl*254 time=4 ms 
2.2 

2.2 


Reply from 10. bytes-56 Sequence=5/ttl=254 time-3 ms 
=== 10.0.2.7 ping statistics === 

5 packet(s) transmitted 

5 packet(s) received 

0.00$ packet loss 


round-trip min/avg/max = 2/3/4 ms 


[R1]ping -a 10.0.1.1 10.49M5.3 

PING 10.0.3.3: 56 date bytes, press CTRL C to break 
Reply from 10.0.3.87@bytes=56 Sequence-1 ttl=254 time-4 ms 
Reply from 10. bytes-56 Sequence-2 ttl=254 time-4 ms 
Reply from 10. bytes-56 Sequence-3 ttl=254 time-3 ms 


Reply from TO 





ogo g o 
@ ufu U LA 


3 
3 
.3: bytes-56 Sequence-4 ttl1-254 time-4 ms 
Reply from 10. 3: bytes-56 Sequence-5 ttl-254 time-4 ms 
=== 10.0.3. Motng statistics === 
5 pacKet(s) transmitted 
5 pa&eket(s) received 
@.00% packet loss 


round-trip min/avg/max = 3/3/4 ms 


W 
CO 
= 
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步骤 二 .配置 域 间 包 过 滤 


包 过 滤 是 一 个 基础 安全 策略 ， 主 要 控制 域 间 报 文 转发 ， 在 进行 其 他 安全 策略 
检查 之 前 都 会 先进 了 包 过 滤 规 则 的 检查 ， 所 以 包 过 滤 功 能 是 否 配置 正确 ， 将 影响 
设备 大 部 分 功能 的 使 用 。 


配置 区 域 之 间 的 缺 省 包 过 滤 策略 ， 仅 允许 Trust 区 域 访问 其 他 区 域 AF 
其 他 区 域 之 间 的 访问 。 X 


[FW] firewall packet-filter default deny all 
[FW] firewall packet-filter default permit interzone trust untrüst. direction 


outbound 


[FW] firewall packet-filter default permit interzone trust dmz direction outbound 


[FW] firewall session link-state check 


配置 完成 后 ， 测 试 区 域 之 间 的 连通 性 。 
Untrust 区 域 到 Trust 区 域 。 


[R1]ping =a 10.0.1.1 10.0.2.2 
PING 10.0.2.2: 56 data bytes, press CTRL C-^to break 
Request time out 
Request time out 
Request time out 


Request time out 





Request time out 


=== 10.0.2.2 ping statistics 9-- 
5 packet(s) transmitted 
0 packet(s) received 


100.00% packet loss 


Untrust 区 域 到 DMZ 区 域 。 


[Rl]ping -a 10.0.1.1.10.0.3.3 
PING 10.0.3.3: 56 data bytes, press CTRL C to break 
Request/time out 
Request time out 
Request tim out 


Réquest “ime out 





Request/time out 
Te 15.0.3.23 ping statistics -== 


5 packet(s) transmitted 


0 packet(s) received 
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100.00% Packet loss 


Trust 区 域 到 Untrust 区 域 。 





[R2]ping -a 10.0.2.2 10.0.1.1 
PING 10.0.1.1: 56 data bytes, press CTRL C to break 
Reply from 10.0.1.1: bytes-56 Sequence-1 ttl=254 time-3 ms 
Reply from 10.0.1.1: bytes-56 Sequence-2 ttl=254 time-3 ms 
Reply from 10.0.1.1: bytes-56 Sequence-3 ttl=254 time=3 ms X 
Reply from 10.0.1.1: bytes=56 Sequence=4 ttl=254 time=3 ms 
Reply from 10.0.1.1: bytes=56 Sequence=5 ttl=254 time=3 ms 


=== 10.0.1,.1 ping Statistics === 
5 packet(s) transmitted 
5 packet(s) received 
0.00% packet loss 


round-trip min/avg/max = 3/3/3 ms 


Trust 区 域 到 PDMZ 区 域 。 
[R2]Ping -a 10.0.2.2 10.0.3.3 
PING 10.0.3.3: 56 data bytes, press CTRW @ to break 

Reply from 10.0.3.3: bytes=56 Sequendcez1 tl=254 time=5 ms 
Reply from 10.0.3.3: bytes=56 Sequence=2 ttl=254 time=3 ms 
Reply from 10.0.3.3: bytes=56 Sequenée=3 ttl=254 time=3 ms 
Reply from 10.0.3.3: bytes=56 Sequence-4 ttl=254 time=4 ms 
Reply from 10.0.3.3: bytes=56 Sequence=5 ttl=254 time=3 ms 





--- 10.0.3.3 ping statisti«s A 
5 packet(s) transmitted 
5 packet(s) received 
0.00% packet loss 


round-trip min/avg/max = 3/3/5 ms 


DMZ 区 域 到 UntrUst 区 域 。 


[R3]ping -# (Bell. 32.32 10.0.1.1 
PING 10.0.1: 56 data bytes, press CTRL C to break 
Request timg out 
Request time out 
Request/time out 


Request time out 





Request time out 


== 10.0.1.1 ping statistics === 
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5 packet(s) transmitted 
0 packet(s) received 


100.00% packet loss 


DMZ 区 域 到 Trust 区 域 。 


[R3]ping =a 10:20.3.3 10.0 22.2 
PING 10.0.2.2: 56 data bytes, press CTRL_C to break 
Request time out X 
Request time out 
Request time out 


Request time out 





Request time out 


=== 10.0.2,.2 ping statistics. === 
5 packet (s) transmitted 
0 packet (s) received 


100.00% packet loss 


配置 域 间 包 过 滤 策 略 ， 人 允许 Untrust 区 域 访问 DMZ 区 域 的 特定 服务 器 。 


DMZ 区 域 有 一 台 服 务 器 ,IP 地 址 为 10.038 需要 对 Untrust 区 域 开 放 Telnet 
服务 。 同 时 为 了 测试 网 络 ， 需 要 开放 ICMPyPing 测 试 功能 。 
FW]policy interzone dmz untrust inbott&d 
FW-policy-interzone-dmz-untrust-inbound] policy 1 
FW-policy-interzone-dmz-untrust-inbound-1]policy service service-set icmp 
FW-policy-interzone-dmz-untrust-inbound-1]policy destination 10.0.3.3 0 
FW-policy-interzone-dmz-unt Pus®-#nbound-ljaction permit 
FW-policy-interzone-dmz-untrüst-inbound-1]quit 
FW-policy-interzone-dmz-umntrüst-inbound]policy 2 
FW-policy-interzone-dma@eunt rust-inbound-2]policy service service-set telnet 
FW-policy-interzoneé*ümz-üntrust-inbound-2]policy destination 10.0.3.3 0 
FW-policy-interzone-dmz-untrust-inbound-2]action permit 
FW-policy-interzoné«dmz-untrust-inbound-2]quit 


FW-policy-interzómge-ümz-untrust-inbound]policy 3 

















FW-policyginterzone-dmz-untrust-inbound-3]action deny 


73 T3itf3TelnetillliX , #£R3_EJTJETelnetIBB6, 


[R3]use®einterface vty 0 4 


[R3-ui-vty0-4]authentication-mode none 


测试 网 络 连通 性 。 


<R1]>ping 10.0.3.3 
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PING 10.0.3.3: 56 data bytes, press CTRL C to break 


Reply from 10.0.3.3: bytes-56 Sequence-1 ttl-254 
Reply from 10.0.3.3: bytes-56 Sequence-2 ttl-254 
Reply from 10.0.3.3: bytes-56 Sequence-3 ttl-254 
Reply from 10.0.3.3: bytes-56 Sequence-4 ttl-254 
Reply from 10.0.3.3: bytes-56 Sequence-5 ttl-254 


sms lg.0,2.3 ping Statistics === 
5 packet(s) transmitted 
5 packet(s) received 
0.00$ packet loss 


round-trip min/avg/max = 2/2/4 ms 


<Rl>ping 10.0.30.1 


time=3 
time=2 
time=2 
time=4 


time=2 


PING 10.0.30.1: 56 data bytes, press CTRL C to break 


Request time out 
Request time out 
Request time out 
Request time out 


Request time out 


=== 10.0.30.1 ping statistics === 
5 packet(s) transmitted 
0 packet(s) received 


100.00% packet loss 


<Rl>telnet 10.0.3.3 
Press CTRL_] to quit telnet, mode 
Trying 10.0.3.3 
Connected to 10.0.3.3 

ERSPquit 


Configuration ¢dmsole exit, please retry to log on 
The connection waS«closed by the remote host 
«Rl1»5telnet/10.0$30.3 


Press CTRL të quit telnet mode 
Tryifg *Q.0.30.3 
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步骤 三 . 配置 黑 名 单 


黑 名 单 仅 对 IP 地 址 进行 识别 ， 能 够 以 很 高 的 速度 实现 黑 名 单 表 项 匹配 ， 从 而 
快速 有 效 地 屏蔽 特定 IP 地 址 的 用 户 。 黑 名 单 是 一 个 重要 的 安全 特性 ， 其 特点 为 可 
以 由 设备 动态 地 进行 添加 或 删除 。 同 包 过 滤 功能 相 比 ， 黑 名 单 功能 的 匹配 和 屏蔽 
的 速度 更 快 ， 消 耗 的 系统 资源 更 少 。 如 果 认 为 某 个 IP 地 址 对 应 的 用 户 不 可 信和 时 , 
可 将 该 用 户 的 IP 地 址 加 入 黑 名 单 ， 之 后 当 设 备 收 到 源 地 址 为 该 IP 地 址 的 报 六 时 e 
将 其 予以 丢弃 ， 从 而 达到 保护 网 络 安全 的 目的 。 

最 近 发 现 Untrust 区 域 上 不 断 有 不 同 的 IP 地 址 在 对 公司 进行 端口 扫描 ， 需 要 
对 其 进行 防范 。 

其 中 有 一 个 IP 地 址 10.0.111.1 已 经 进行 了 多 次 攻击 ， 和 希望 直接 屏蔽 掉 从 该 IP 
发 来 的 流量 。 

在 RI 上 添加 环 回 口 ， 模 拟 攻击 源 。 并 在 防火 墙 上 配置 静态 路 由 。 


[R1]interface LoopBack 1 
[R1-LoopBackl]ip address 10.0.111.1 24 


[FW]ip route-static 10.0.111.0 24 10.0.10.1 
配置 端口 扫描 攻击 防范 ， 使 端口 扫描 攻击 的 检测 结果 可 以 被 自动 导入 到 黑 名 


[FW] firewall defend port-scan enable 


配置 IP 地 址 扫描 速率 的 立 值 为 50900pps。 这 里 的 阅 值 指 某 个 源 地 址 到 同一 目 
的 地 址 的 IP 报 文中 端口 的 变化 速率 ; 如 果 这 个 速率 过 快 ， 说 明 这 个 源 地 址 极 可 能 
在 扫描 目的 地 址 的 所 有 端口 。 


[FW] firewall defend port-scan max-rate 5000 


配置 黑 名 单 超时 时 间 为 30 分 钟 。 这 样 攻击 防范 功能 所 生成 的 动态 黑 名 单 表 项 
将 在 30 分 钟 后 被 删除 。 


[FW] firewall defená,gort-scan blacklist-timeout 30 


添加 静态 黑 名 单 之 前 ，IP 地 址 为 10.0.111.1 的 环 回 口 能 够 与 R3 的 环 回 口 通讯 。 
检测 连通 性 。 


[RA] ping — 10.0.111.1 10.0.3.3 
PING 0.0.3.3: 56 data bytes, press CTRL C to break 
Reply from 10.0.3.3: bytes-56 Sequence-1 ttl-254 time-4 ms 
Reply from 10.0.3.3: bytes-56 Sequence-2 ttl-254 time-3 ms 
Reply from 10.0.3.3: bytes-56 Sequence-3 ttl-254 time-3 ms 
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Reply from 10.0.3.3: bytes=56 Sequence=4 ttl=254 time=3 ms 
Reply from 10.0.3.3: bytes=56 Sequence=5 ttl=254 time=3 ms 


=== 10.0.3.2 ping statistics === 
5 packet(s) transmitted 
5 packet(s) received 
0.00% packet loss 
round-trip min/avg/max = 3/3/4 ms 4 


报 文 ， 直 至 手工 将 其 从 黑 名 单 中 删除 。 


[FW] firewall blacklist enable 
[FW] firewall blacklist item 10.0.111.1 


测试 连通 性 。 
[Rl]ping =a 10.0.111.1 10.0.3.3 
PING 10.0.3.3: 56 data bytes, press CTRL C tog®xeak 
Request time out 
Request time out 
Request time out 


Request time out 





Request time out 


=== 10.0,23,.3 ping statistios <q 
5 packet(s) transmitted 
0 packet(s) received 


100.00$ packet loss 


步骤 四 . 配置 应 用 层 包 过 滤 ( ASPF) 


在 多 通道 协议 和 NAT 的 应 用 中 ，ASPF 是 重要 的 辅助 功能 。 


通过 配置 ASPF 功 能 ， 可 实现 内 网 正常 对 外 提供 FTP 和 TFTP 服 务 ， 同 时 还 可 
避免 内 网 用 户 在 访问 外 网 Web 服 务 器 时 下 载 危险 控件 。 

公司 提供 FTP、TFTP 服 务 ， 公 司 员工 还 需要 访问 外 网 的 Web 网 站 。 在 向 内 网 
开放 的 Web 网 站 上 可 能 人 存在 危险 的 java 控 件 。 由 于 FTP 协 议 为 系统 预定 义 协议 , 
只 需 在 域 间 应 用 detect ftp 即 可 实现 FTP 报 文 的 正常 转发 。 而 TFTP 协 议 在 系统 中 
没有 预先 定义 ， 可 以 通过 自 定义 的 三 元 组 ASPF 来 进行 匹配 。 


创建 ACL。 
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ACL3001 用 于 定义 访问 内 网 TFTP 服 务 器 的 流量 。 由 于 TFTP 服 务 需 要 自 定义 
端口 号 等 信息 ， 所 以 需要 单独 创建 一 条 ACL。 


[FW]ac1 3001 
[FW-acl-adv-3001]rule permit udp destination-port eq tftp 
[FW-acl-adv-3001]quit 


在 域 间 应 用 对 FTP 的 检查 ， 实 现 FTP 报 文 的 正常 转发 。 应 用 detect 
user-define， 实 现 TFTP 报 文 的 正常 转发 。 NW 


[FW]firewall interzone trust dmz 
[FW-interzone-trust-dmz]detect ftp 
[FW-interzone-trust-dmz]detect user-defined 3001 outbound 


[FW-interzone-trust-dmz]quit 


在 域 间 应 用 detect java-blocking， 阻 止 危险 java 控 件 的 下 载 。 


[FW]firewall interzone trust untrust 
[FW-interzone-trust-untrust]detect java-blocking 


[FW-interzone-trust-untrust] quit 


由 于 AsPF 功 能 决定 了 很 多 特殊 协议 能 够 得 到 正常 转发 ， 所 以 当 这 些 业务 出 
现 问 题 时 ， 可 以 通过 如 下 方式 来 进行 问题 定位 3 


执行 命令 display interzone 查 看 域 间 的 配置 ， 核 对 域 间 是 否 正确 配置 了 
ASPF 功 能 。 


[FW]display interzone 

15:42:11 2011/12/25 

interzone trust untrust 

detect java-blocking 

# 

interzone trust dmz 

qetect ftp 

detect user-defpged 3001 outbound 
# 


附加 实验 : 思考 并 验证 


思考 一 下 ， 在 企业 网 络 中 ， 如 果 用 户 和 服务 都 非常 多 ， 网 络 设计 时 该 如 何 设 
VE ? 同时 可 以 采用 什么 方法 简化 配置 ? 
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最 终 设备 配置 


[R1]display current-configuration 
[V200R001C00SPC200] 

# 

sysname R1 

# 

interface GigabitEthernet0/0/1 

ip address 10.0.10.1 255.255.2550 
# 
interface LoopBack0 

ip address 10.0.1.1 255.255.255.0 
# 


interface LoopBackl 





ip address 10.0.111.1 255.255.255.0 

# 

ip route-static 0.0.0.0 0.0.0.0 10.0.10.254 
# 


return 


[R2]display current-configuration 
[V200R001C00SPC200] 

# 

sysname R2 

# 

interface GigabitEthernet0/0/1 

ip address 10.0.20.1 255.259. 25670 
# 

interface LoopBack0 

ip address 10.0.2.2 29 5b .255.0 
# 

ip route-staticAQ.0.0.0 0.0.0.0 10.0.20.254 
# 


return 


[R3]display current-configuration 
[V200R00%C00SPC200] 

# 

sysname RS 

D 

intéxface GigabitEthernet0/0/1 

ip address 10.0.30.1 255.255.255.0 
# 
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interface LoopBack0 


ip address 10.0.3.3 255.255.255.0 


# 

ip route-static 0.0.0.0 0.0.0.0 10.0.30.254 

# 

return 

[FW]display current-configuration YV 
# 


sysname FW 

# 

firewall packet-filter default permit interzone trust untrust di*ection outbound 
firewall packet-filter default permit interzone trust dmz direction outbound 
# 

vlan batch 1 12 

# 

firewall defend port-scan enable 

firewall defend port-scan max-rate 5000 
firewall defend port-scan blacklist-timeout 30 
# 

firewall statistic system enable 

# 

acl number 3001 

rule 5 permit udp destination-por eq t£tp 
# 

interface Vlanif12 

ip address 10.0.20.254 255.259.255.0 

# 

interface Ethernet0/0/0 

ip address 10.0.10.254 255.255.255.0 

# 

interface Ethernet1/0/0 

portswitch 

port link-typeNaccesS 

port access, vlan 12 

# 

interface Ethernét2/0/0 

ip agfirewg 10.0.30.254 255.255.255.0 

# 

firewall zone local 

set prbority 100 

# 


firewall zone trust 
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set priority 85 

add interface Ethernet1/0/0 
add interface Ethernet1/0/1 
add interface Ethernet1/0/2 
add interface Ethernet1/0/3 
add interface Ethernet1/0/4 


add interface Ethernet1/0/5 





add interface Ethernet1/0/6 








add interface Ethernet1/0/7 


add interface Vlanifl 





add interface Vlanifl2 
# 
firewall zone untrust 
set priority 5 
add interface Ethernet0/0/0 
# 
firewall zone dmz 
set priority 50 
add interface Ethernet2/0/0 
# 
firewall interzone trust untrust 
detect java-blocking 
# 
firewall interzone trust dmz 
detect ftp 
detect user-defined 3001 outbound 
# 
ip route-static 10.0.1.0 238.259 .255.0 10.0.10.1 
ip route-static 10.0.2.&455.795.255.0 10.0.20.1 
ip route-static 10.0.2340 25W.255.255.0 10.0.30.1 
ip route-static 10,0 fa m 255.255.255.0 10.0.10.1 
# 
firewall blacklést enable 
firewall blacK%ist item 10.0.111.1 
# 
policy intérzone,dmz untrust inbound 
policy 1 
action permit 
policy service service-set icmp 


policy destination 10.0.3.3 0 


poliey 2 


action permit 
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policy service SerVice-set telnet 


policy destination 10.0.3.3 0 


policy 3 
action deny 
# 


return 


[S1]display current-configuration 
# 

! Software Version V100R006C00SPC800 
sysname S1 

# 

vlan batch 11 to 13 

# 

interface GigabitEthernet0/0/1 
port link-type access 

port default vlan 11 

# 

interface GigabitEthernet0/0/2 
port link-type access 

port default vlan 12 

# 

interface GigabitEthernet0/0/3 
port link-type access 

port default vlan 13 

# 

interface GigabitEthernet0/0/21 
port link-type access 

port default vlan 11 

# 

interface GigabitEthernet0/0/22 
port link-type atecess 

port default vhan 12 

# 

interface GigabbtEthernet0/0/23 
port link-type Access 

port default vlan 13 

# 


return 
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实验 1-2 USG 防火 墙 IPsec VPN 配置 
学 习 目 的 


° ”掌握 在 USG 防 火 墙 上 配置 IPSec VPN 的 方法 
° ”掌握 在 USG 防 火 墙 上 配置 GRE over IPSec VPN 的 方法 `x 
° ”掌握 在 路 由 器 上 配置 IPSec VPN 的 方法 


e ”掌握 在 路 由 器 上 配置 GRE over IPSec VPN 的 方法 













[22] 
拓扑 图 
FW1 
‘> 10.0.12.0/24 FW2 
1 10010024 .2 fate —— F A: 4 10020024 > 
—$—$ S1/0/0 ug ww 
E2/0/0 G0/0/1 5 G0/0/2 E2/0/0 
E0/0/d 3 ` 4 | Eo/o/o 
10.0.100.0/24 R1 R2 10.0.200.0/24 
S2/0/0 a 
Trust - 10.0.23.0/24 
~ d) vane Trust ^ 
Say UNE 
3 
gëff, S2/0/0 
` Loopback0 A 
10.0.33/24 
R3 
图 1-2 USG 防 火 墙 WPN 配 置 
场景 
A 


你 是 你 们 公司 的 网 络 管理 员 。 公 司 的 网 络 分 为 总 部 区 域 、 分 部 网 络 和 分 支 办 
公 室 三 个 部 分 。 现 在 分 部 网 络 内 Trust 区 域 的 用 户 需 要 能 够 访问 总 部 的 Trust 区 域 。 
并 且 分 支 办 公 室 也 需要 能 够 访问 总 部 的 Trust 区 域 。 并 要 求 总 部 分 部 网 络 之 间 , 
总 部 、 分 支 办 公 室 之 间 传 输 的 数据 需要 加 密 。 
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学 习 任务 


步骤 一 . 基本 配置 与 IP 编 址 


S51 与 52 参 与 到 本 次 实验 ( 实现 防火 墙 与 路 由 器 的 互联 ) ， 但 无 需 配置 。 实 验 
之 前 ， 请 清空 S1 与 32 的 配置 ， 并 重启 它们 。 


给 所 有 路 由 器 配置 IP 地 址 和 掩 码 。 配 置 时 注意 所 有 的 Loopback 接 War 
码 均 为 24 位 。 








<Huawei>system-view 

Enter system view, return user view with Ctrl+z. 
Huawei]sysname R1 
Rl]interface GigabitFthernet 0/0/1 
Rl-GigabitEthernet0/0/1]ip address 10.0.10.2 24 
Rl-GigabitEthernet0/0/1]interface Serial 1/0/0 
Rl-Seriall/0/0]ip address 10.0.12.1 24 
Rl-Seriall/0/0]interface loopback 0 
Rl-LoopBack0]ip address 10.0.1.1 24 

<Huawei>system-view 


Enter system view, return user view with Ctfl-Z. 
Huawei]sysname R2 

R2]interface GigabitEthernet0/0/2 
R2-GigabitEthernet0/0/2]ip address 10%0.20.1 24 
R2-GigabitEthernet0/0/2]interface Serial 1/0/0 
R2-Seriall/0/0]ip address 10.0:12.2 24 
R2-Seriall/0/0]interface Sertal2/0/0 
R2-Serial2/0/0]ip address $0-:0.23.2 24 
R2-Serial2/0/0]interfáce. Lloopback 0 





R2-LoopBack0]ip address 10.0.2.2 24 


^ 


Huawei»systems4view 

Enter system view, return user view with Ctrl+Z. 
[Huawei] sysname, R3 

[R3] interface, Serial2/0/0 

[R3-Se£ial2/0/0]ip address 10.0.23.3 24 


R3-Sexial2/0/0]interface loopback 0 





RS3-LoopBack0]ip address 10.0.3.3 24 


Bog GF WITHFW 2RSSEDTXEBE, 


<USG2100>system-view 
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Enter system view, return user view with Ctrl+Z. 
USG2100]sysname FW1 

FWl]interface Ethernet 0/0/0 
FWl-Ethernet0/0/0]ip address 10.0.100.1 24 
FWl-Ethernet0/0/0]interface Ethernet 2/0/0 
FWl-Ethernet2/0/0]ip address 10.0.10.1 24 
FWl-Ethernet2/0/0]interface vlanif 1 








FW1-Vlanifl]undo ip address NW 


A 


USG2100>system-view 

Enter system view, return user view with Ctrl+Z. 
USG2100]sysname FW2 

FW2]interface Ethernet 0/0/0 
FW2-Ethernet0/0/0]ip address 10.0.200.1 24 
FW2-Ethernet0/0/0]interface Ethernet 2/0/0 
FW2-Ethernet2/0/0]ip address 10.0.20.2 24 
FW2-Ethernet2/0/0]interface vlanif 1 








FW2-Vlanifl]undo ip address 


配置 防火 墙 FW1 和 FW2 的 安全 区 域 ， 并 将 接口 添加 到 对 应 的 安全 区 域 。 


FW1]firewall zone untrust 

FWl-zone-untrust]add interface Ethernet 2/0/0 
FWl-zone-untrust]undo add interface Ethernet0/0/0 
FWl1-zone-untrust]quit 


FWl1]firewall zone trust 





FWl-zone-trust]add interface Ethernet 0/0/0 


FW2]firewall zone untrust 

FW2-zone-untrust]add interface Ethernet 2/0/0 
FW2-zone-untrust]undo-add interface Ethernet0/0/0 
FW2-zone-untrust]quit 


FW2]firewall zone trust 








FW2-zone-trust]add"interface Ethernet 0/0/0 


步骤 二 .配置 区 域 间 的 安全 过 滤 


在 防火 墙 上 配置 从 Trust 区 域 发 往 Untrust 区 域 的 数据 包 被 放行 ， 从 Untrust 


区 域 发 往 Local 区 域 的 数据 包 被 放行 ， 其 他 方向 数据 流 被 禁止 。 
[FEWI™Mh,firewall packet-filter default permit interzone trust untrust 


REW1]firewall packet-filter default permit interzone local untrust 
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[FW2]firewall packet-filter default permit interzone trust untrust 


[FW2]firewall packet-filter default permit interzone local untrust 


步骤 三 . 配置 路 由 ， 实 现 网 络 的 连通 


在 RL1、R2、R3、FW1 和 FW2 上 配置 单 区 域 OSPF, 实 现 10.0.10.0/24 
10.0.20.0/24、10.0.12.0/24、10.0.23.0/24 网 段 之 间 可 以 连通 。 


Rl]ospf 
Rl-ospf-1]area 0.0.0.0 

Rl-ospf-1-area-0.0.0.0]network 10.0.10.0 0.0.0.255 
Rl-ospf-1-area-0.0.0.0]network 10.0.12.0 0.0.0.255 


R2]ospf 
.0 

.0]network 10.0.23.0 0.0.04255 
.0]network 10.0.12.0 0.0.0/255 
.0]network 10.0.20.0 0.060.255 


R2-ospf-1l]area 0. 
R2-ospf-l-area-0. 


R2-ospf-l-area-0. 


oO OO 0o o 
oO o o oO 


R2-ospf-1-area-0. 


R3]ospf 
R3-ospf-1]area 0.0.0.0 





R3-ospf-l-area-0.0.0.0]network 10.0%23.0 0.0.0.255 


FWl1]ospf 
FWl-ospf-1]area 0.0.0.0 
FWl-ospf-1-area-0.0.0.0]network 10.0.10.0 0.0.0.255 


FW2]ospf 
FW2-ospf-1]area 0.0.0490 











FW2-ospf-1l-area-0 .@.0.0%network 10.0.20.0 0.0.0.255 


在 FW1 和 FW2 让 测试 网 段 的 连通 性 。 


[FW1]ping 10.0.20.2 

PING 10.0.2072: 56 data bytes, press CTRL C to break 
Reply from 10/0.20.2: bytes-56 Sequence-1 ttl1-253 time-40 ms 
Repl o from 10.0.20. bytes-56 Sequence-2 tt1-253 time=30 ms 
Reply from 10.0.20. bytes-56 Sequence=3 tt1-253 time-30 ms 


Reply from 10.0.20. bytes-56 Sequence-4 ttl-253 time-40 ms 





2 
2: 
2: 
Reply from 10.0.20.2: bytes-56 Sequence-5 ttl=253 time-30 ms 
— V0.0,20.2 ping statistics === 

5 packet(s) transmitted 


5 packet(s) received 
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0.00% packet loss 
round-trip min/avg/max = 30/34/40 ms 
[FW1]ping 10.0.23.3 
PING 10.0.23.3: 56 data bytes, press CTRL C to break 
Reply from 10.0.23.3: bytes=56 Sequence-1 tt1-253 time-70 ms 
Reply from 10.0.23.3: bytes-56 Sequence-2 tt1-253 time=60 ms 
Reply from 10.0.23.3: bytes-56 Sequence-3 tt1-253 time-70 ms 
Reply from 10.0.23.3: bytes-56 Sequence-4 tt1-253 time=70 ms 4 





Reply from 10.0.23.3: bytes=56 Sequence=5 ttl=253 time=60 ms 
=== 10.0.23.3 ping statistics === 

5 packet(s) transmitted 

5 packet(s) received 

0.00% packet loss 

round-trip min/avg/max = 60/66/70 ms 


[FW2]ping 10.0.10.1 
PING 10.0.10.1: 56 data bytes, press CTRL C to break 
Reply from 10.0.10.1: bytes-56 Sequence-1 ttie253 time-40 ms 
Reply from 10.0.10. 
10. 


bytes-56 Sequence-2 tth=253 time=30 ms 
Reply from 10 bytes-56 Sequence=3%tt1l=253 time-40 ms 


bytes-56 Sequence=4 ttl1-253 time-30 ms 


PoP P nm 


e. 
Reply from 10.0.10. 
.0. 


Reply from 10 10. bytes-56 Sequence=5) tt1=253 time-30 ms 
=== 10.0.10.1 ping statistics === 
5 packet(s) transmitted 
5 packet(s) received 
0.00% packet loss 
round-trip min/avg/max = 30/34/40 ms 
[FW2]ping 10.0.23.3 
PING 10.0.23.3: 56 data/bytesSy press CTRL C to break 
Reply from 10.0.23,3$ bytés-56 Sequence-1 ttl1-254 time-30 ms 
Reply from 10.0.2349$ bf9tes-56 Sequence-2 ttl=254 time=30 ms 


.23.3: bytes-56 Sequence-4 ttl1-254 time-30 ms 


0 
0 
Reply from 10.0.23%9:; bytes-56 Sequence=3 ttl1-254 time=30 ms 
Reply from 10/79 
0 


Reply from TQ.0.2393: bytes-56 Sequence-5 ttl=254 time-30 ms 
=== 10.0.240.3 pin'Wstatistics --- 

5 packet(s) "&ransmitted 

5 packet (& yveceived 

0.00% “packet loss 

round-trip min/avg/max = 30/30/30 ms 


RI;R2, R3, FW1#IFW23EFERBS10.0.10.0/24. 10.0.20.0/24, 10.0.12.0/24, 
10.023.0/24 网 段 之 间 可 以 连通 。 
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步骤 四 . ”配置 分 部 网 络 与 总 部 网 络 之 间 的 IPsec VPN 


配置 匹配 被 保护 数据 的 ACL。 


FWllacl 3000 
FWl-acl-adv-3000]rule permit ip source 10.0.100.0 0.0.0.255 destination 


0.0.200.0 0.0.0.255 


FW2-acl-adv-3000] rule permit ip source 10.0.200.0 0.0.0.255 degt#rmpion 
0.0.100.0 0.0.0.255 


FW2]acl 3000 





配置 分 部 网 络 到 总 部 内 网 的 静态 路 由 。 


[FW1]ip route-static 10.0.200.0 24 10.0.10.2 


[FW2]ip route-static 10.0.100.0 24 10.0.20.1 


在 防火 墙 FW1 和 FW2 上 配置 IPSec 安全 提议 。 


配置 时 ， 封 装 模 式 使 用 隧道 模式 ， 使 用 ESP 协 议 对 数据 进行 保护 。ESP 使 用 
的 加 密 算法 为 DES、 完 整 性 验证 算法 使 用 SHAl。 
FWl]ipsec proposal tran 
FWl-ipsec-proposal-tranl]encapsul&tion*mode tunnel 
FWl-ipsec-proposal-tranl]trans£orm sp 
FWl-ipsec-proposal-tranl]esp authentication-algorithm shal 


FWl-ipsec-proposal-tranl]esp éncryption-algorithm des 


FW2]ipsec proposal tran 
FW2-ipsec-proposal-traul]enéapsulation-mode tunnel 
FW2-ipsec-proposal-treénfjéransform esp 


FW2-ipsec-proposal-tfanl]esp authentication-algorithm shal 

















FW2-ipsec-propoSal-tranl]esp encryption-algorithm des 


在 防火 墙 FW1 和 FW2 上 配置 IKE 安 全 提议 。 
在 IKE 安 全 提议 中 ， 定 义 加密 算 法 为 DES、 完 整 性 验证 算法 使 用 SHA1。 
FW1]ike proposal 10 


FW1-ike-proposal-10]authentication-algorithm shal 


BWi-ike-proposal-10]encryption-algorithm des 


FW2]&ke proposal 10 

















EW2-ike-proposal-10]authentication-algorithm shal 
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[FW2-ike-proposal-10]encryption-algorithm des 


BOBIKEXJSEAS , IKEXISEUNSAIAGSSFBIKEV Huel. 
引用 IKE 安 全 提议 ， 并 定义 对 端 IP 地 址 和 预 共 享 密码 。 


FWl]ike Peer fw12 
FWl-ike-peer-fw12]ike-proposal 10 
FWl-ike-peer-fw12]remote-address 10.0.20.2 X 


FWl-ike-peer-fwl2]pre-shared-key abcde 


FW2]ike peer fw21 
FW2-ike-peer-fw21]ike-proposal 10 
FW2-ike-peer-fw21]remote-address 10.0.10.1 











FW2-ike-peer-fw21]pre-shared-key abcde 


在 防火 墙 FW1 和 FW2 上 配置 安全 策略 。 
配置 安全 策略 时 ， 将 ACL、IPSec 安 全 提议 及 IKE 对 等 体 绑 定 在 一 块 。 


FWl]ipsec policy mapl 10 isakmp 
FWl-ipsec-policy-isakmp-mapl-10]security acl,3000 
FWl-ipsec-policy-isakmp-mapl-10]proposal tran? 


FWl-ipsec-policy-isakmp-mapl-10]ike-peer fwh2 


FW2]ipsec policy mapl 10 isakmp 
FW2-ipsec-policy-isakmp-mapl-10j]secürity acl 3000 


FW2-ipsec-policy-isakmp-mapl-10]pkoposal tranl 














FW2-ipsec-policy-isakmp-mapl-T0]ike-peer fw21 


在 防火 墙 FW1 和 FW2 接 口上 应 用 安全 策略 。 


[FW1]interface Ethernet2/0/0 


[FW1-Ethernet2/0/0]ipsec policy mapl 


[FW2]interface @thermet2/0/0 


[FW2-Ethernet2/0/04jipSec policy mapl 


测试 分 部 网 络 内 网 到 总 部 内 网 的 连通 性 ， 然 后 查看 IPSec 建立 情况 。 


[FW1]fing'"wa 10.0.100.1 10.0.200.1 
PING 10%.0.200.1: 56 data bytes, press CTRL C to break 
Reply from 10.0.200.1: bytes-56 Sequence-1 ttl1-255 time-50 ms 


Reply from 10.0.200. bytes-56 Sequence-2 ttl-255 time-50 ms 





1 
Reply from 10.0.200.1: bytes=56 Sequence=3 ttl=255 time=60 ms 
1 


Reply from 10.0.200. bytes=56 Sequence=4 ttl=255 time=50 ms 
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bytes=56 Sequence=5 ttl=255 time=50 ms 


=== 10.0.200.1 ping statistics === 


5 packet(s) transmitted 


5 packet(s) received 


0.00% packet loss 


round-trip min/avg/max 


[FW1]display ike sa 


current ike sa number: 2 


= 50/52/60 ms 


conn-id peer flag phase vpn 
40001 LOO o20 2 RD|ST TARA exisse 
四 du 20,2 RD ST w2:l publie 
flag meaning 
RD--READY ST--STAYALIVE RL--REPLACED FD--FADING 


TO--TIMEOUT TD--DELETING  NEG--NEGOTIATING D-DPD 


[FWl1]display ipsec sa 


Interface: Ethernet2/0/0 
path MTU: 1500 


IPsec policy name: "mapl" 


sequence number: 10 
mode: isakmp 


vpn: public 


connection id: 40001 


rule number: 5 


encapsulation mode tunnel 


holding time: Od OAylm 16s 
tunnel local/AQ0.0.10.1 tunnel remote: 10.0.20.2 
flow soüxce: 19.0.100.0-10.0.100.255 0-65535 0 


flow destinationv 10.0.200.0-10.0.200.255 0-65535 0 


[inbound “BSP SAs] 


spi:*103447906 (0x62a7d62) 


va: public said: 0 


cpuid: 0x0000 


proposal: ESP-ENCRYPT-DES ESP-AUTH-SHA1 


sayremaining key duration (bytes/sec): 1887436464/3524 


máx received sequence-number: 4 


udp encapsulation used for nat traversal: N 
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[eutbound ESP SAs] 
spi: 92831779 (0x5888023) 
vpn: public said: 1 cpuid: 0x0000 
proposal: ESP-ENCRYPT-DES ESP-AUTH-SHA1 
sa remaining key duration (bytes/sec): 1887436464/3524 
max sent sequence-number: 5 


udp encapsulation used for nat traversal: N YV 


FW1 连 接 的 内 网 和 FW2 连 接 的 内 网 可 以 通讯 。 


FW1 和 FW2 之 间 已 经 建立 两 个 方向 的 ESP SA。 实 现 了 分 部 网 络 和 总 部 网 络 
的 数据 通讯 的 加 密 


SRA. 配置 分 支 办 公 室 与 总 部 之 间 的 IPSec VPN 


配置 分 支 办 公 室内 网 访问 总 部 内 网 的 ACL。 


[R3]ac1 3000 


[R3-acl-adv-3000]rule permit ip source 10.0.3.0 0.0.0.255 destination 10.0.200.0 
0.0.0.255 


[FW2]acl 3001 


[FW2-acl-adv-3001]rule permit ip seurCé410.0.200.0 0.0.0.255 destination 
10.0.3.0 0.0.0.255 


配置 分 支 办 公 室 到 总 部 内 网 的 静态 路 由 ° 


[R3]ip route-static 10.0.200 24 10.0.23.2 


[FW2]ip route-static 10Z0.3.0 24 10.0.20.1 


在 R3 上 配置 IPSec 安全 提议 。 


配置 时 ， 封 装 模 式 使 用 隧道 模式 ， 使 用 ESP 协 议 对 数据 进行 保护 。ESP 使 用 
的 加 密 算法 为 DES、 完整 性 验证 算法 使 用 SHA1。 
[R3]ipsec proposal tranl 
[R3-ipsec-propdsal-tranl]encapsulation-mode tunnel 
[R3-ipsec-Proposal-tranl]transform esp 
[R3-ipseecproposal-tranl]esp authentication-algorithm shal 


[R3-tpsec-proposal-tranl]esp encryption-algorithm des 


在 FW2 和 R3 上 配置 IKE 安 全 提议 。 
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在 IKE 安 全 提议 中 ， 定 义 加 密 算法 为 DES、 完 整 性 验证 算法 使 用 SHA1。 


[R3]ike proposal 10 
[R3-ike-proposal-10]authentication-algorithm shal 


[R3-ike-proposal-10]encryption-algorithm des 


配置 IKE peer。IKE 对 等 体 使 用 IKEv2 协 商 方式 。 
配置 IKE 对 等 体 ， 引 用 IKE 安 全 提议 , 并 定义 对 端 1P 地 址 和 预 共享 密 稻 。 


FW2]ike peer fw23 
FW2-ike-peer-fw23]ike-proposal 10 
FW2-ike-peer-fw23]remote-address 10.0.23.3 


FW2-ike-peer-fw23]pre-shared-key abcde 


R3]ike peer r32 v2 
R3-ike-peer-r32]ike-proposal 10 
R3-ike-peer-r32]remote-address 10.0.20.2 








R3-ike-peer-r32]pre-shared-key abcde 


在 FW2 和 R3 上 配置 安全 策略 。 
配置 安全 策略 时 ， 将 ACL、IPSec 安 全 提议 及 IKE 对 等 体 绑 定 在 一 块 。 


FW2]ipsec policy mapl 11 isakmp 
FW2-ipsec-policy-isakmp-mapl-11]secuP&ty acl 3001 
FW2-ipsec-policy-isakmp-map1-11]proposal tranl 
FW2-ipsec-policy-isakmp-mapl-11]ike-peer fw23 


R3]ipsec policy mapl 10 isakmp 
R3-ipsec-policy-isakmp-map2-T0jsecurity acl 3000 
R3-ipsec-policy-isakmp-map2-40]proposal tranl 








R3-ipsec-policy-isakmp*map2-10]ike-peer r32 


在 FW2 和 R3 止 接口 上 应 用 安全 策略 。 


[FW2]interface Ethernet2/0/0 


[FW2-Ethernet2/0/0] psec policy mapl 


[R3]interface*$erial2/0/0 


[R3-SeriaT2/0/0]ipsec policy mapl 


测试 分 支 办 公 室 内 网 到 总 部 内 网 的 连通 性 ， 然 后 查看 IPSec 建立 情况 。 
查看 已 经 建立 起 来 的 IKE SA 时 , 在 命令 中 使 用 v2 参数 。 


[R3]ping -a 10.0.3.3 10.0.200.1 
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PING 10.0.200.1: 56 data bytes, press CTRL_C to break 
Reply from 10.0.200.1: bytes=56 Sequence=1 ttl=255 time=50 ms 
Reply from 10.0.200.1: bytes=56 Sequence=2 ttl=255 time=48 ms 


Reply from 10.0.200.1: bytes=56 Sequence=4 ttl=255 time=48 ms 





0 
0 
Reply from 10.0.200.1: bytes=56 Sequence=3 ttl=255 time=48 ms 
0 
Reply from 10.0.200.1: bytes=56 Sequence=5 ttl=255 time=48 ms 
=== 10.0.200.1 ping statistics === 
5 packet(s) transmitted NW 
5 packet(s) received 
0.00% packet loss 
round-trip min/avg/max = 48/48/50 ms 
[R3]display ike sa v2 


Conn-ID Peer VPN Flag(s) Phase 
2 100.20) 2 0 RD|ST 2 
i 10 0.20.2 0 RD|ST 1 


Flag Description: 

RD--READY ST--STAYALIVE RL--REPLACED FD--EADING TO--TIMEOUT 

HRT--HEARTBEAT LKG--LAST KNOWN GOOD SEQ NO. BCK--BACKED UP 
[R3]display ipsec sa 


Interface: Serial2/0/0 
Path MTU: 1500 


IPSec policy name: "mapl" 


Sequence number : 10 
Mode : ISAKMP 
Connection ID ZAC 


Encapsulation modeg “funnel 
Tunnel local :72$0.0.23.3 
Tunnel remote : 10.0.20,.2 
[Outbound ESP SAs] 
SPI: 247406703 (0xebf206f 
Propogal : ESP-ENCRYPT-DES-64 ESP-AUTH-SHA1 
SA rematming key duration (bytes/sec): 1887436380/3534 
Máx sent sequence-number: 5 
UDE. encapsulation used for NAT traversal: N 
[Inbound ESP SAs] 
SP%: 155207494 (0x9404746 
PÉoposal: ESP-ENCRYPT-DES-64 ESP-AUTH-SHA1 
SA remaining key duration (bytes/sec): 1887436380/3534 
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Max received sequence-number: 5 


UDP encapsulation used for NAT traversal: N 


FW2 连 接 的 内 网 和 R3 连 接 的 内 网 可 以 通讯 。 


FW2 和 R3 之 间 已 经 建立 IPSec VPN 通 道 。 实现 了 分 支 办 公 室 网 络 和 总 部 网 络 
的 数据 通讯 的 加 密 。 


步骤 六 . ”配置 分 部 网 络 与 总 部 之 间 的 GRE over IPSec VPN 


以 上 步骤 中 ， 通 过 配置 静态 路 由 ， 实 现 了 三 个 内 网 之 间 的 通讯 


随 着 网 络 规模 的 增 大 ， 配 置 静态 路 由 得 复杂 性 会 增 大 ， 需 要 使 用 动态 路 由 协 
议 实现 网 络 之 间 的 互通 


动态 路 由 协议 不 支持 在 IPSec 通 道上 运行 。 

可 以 通过 使 用 GRE Over IPSec 技 术 来 支持 动态 路 由 协议 ， 实 现 三 个 内 网 之 
间 的 的 通讯 。 

FW1 上 创建 Tunnel 接 口 ， 隧 道 采 用 GRE 协 议 。 

将 Tunnel 接 口 添 加 到 FW1 的 Untrust 区 域 6 


FWl]interface tunnel 1 
FW1-Tunnell]tunnel-protocol gre 
FW1-Tunnell]ip address 30.1.1.1 24 
FW1-Tunnell]source 10.0.10.1 
FWl-Tunnell]destination 10.0.20.2 


FW1-Tunnell]firewall zone untt*tust 














FWl1-zone-untrust]add interfaeevTunnel 1 


FW2 上 创建 Tunnel 接 口 ,, 隧道 采用 GRE 协 议 。 
将 Tunnel 接 口 添加 到 FW2 的 Untrust 区 域 。 


FW2]interface £unnel 1 
FW2-Tunnell]tunnel-protocol gre 
FW2-Tunneli]$p address 30.1.1.2 24 
FW2-Tunne MJ sourte 10.0.20.2 
FW2-Tunnell]de$tination 10.0.10.1 


FW2-Tunnelh] firewall zone untrust 











FW2-zonéesuntrust]add interface Tunnel 1 


删除 以 上 步骤 配置 的 静态 路 由 ， 在 分 部 网 络 和 总 部 内 网 之 间 配 置 使 用 RIP 路 
由 协议 。RIP 协 议 使 用 版 本 2。 
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FW1]undo ip route-static 10.0.200.0 24 10.0.10.2 
FWl]rip 

FWl-rip-1]version 2 

FWl-rip-1]network 30.0.0.0 

FWl-rip-1]network 10.0.0.0 


FW2]undo ip route-static 10.0.100.0 24 10.0.20.1 
FW2]rip 4 
FW2-rip-l]version 2 


FW2-rip-l]network 30.0.0.0 








FW2-rip-l]network 10.0.0.0 


配置 ACL， 定义 GRE 封 装 之 后 的 数据 为 需要 被 IPSec 加 密 的 数据 流 。 
配置 安全 策略 ， 绑 定 新 定义 的 ACL。 


FWl]acl 3001 

FWl-acl-adv-3001]rule permit gre source 10.0.1Q.1 0 destination 10.0.20.2 0 
FW1-acl-adv-3001]quit 

FWl]ipsec policy mapl 10 isakmp 

FWl-ipsec-policy-isakmp-mapl-10]security acl1,3001 


FW2]acl 3002 

FW2-acl-adv-3002]rule permit gre source 10.0.20.2 0 destination 10.0.10.1 0 
FW2-acl-adv-3002]quit 

FW2]ipsec policy mapl 10 isakmp 








FW2-ipsec-policy-isakmp-map1-10]Security acl 3002 


其 他 配置 保持 不 变 。 
测试 分 部 网 络 内 网 到 总 部 内 网 的 连通 性 ， 查 看 IPSec 建立 情况 。 


[FWl]ping -a 10.0.10071-1070.200.1 

PING 10.0.200.1: 56 data bytes, press CTRL C to break 

Reply from 10.0.200.1: bytes=56 Sequence-1 ttl=255 time-50 ms 
Reply from 10.0.200.1: bytes=56 Sequence=2 ttl=255 time=50 ms 
Reply frem 10.0.200.1: bytes=56 Sequence=3 ttl=255 time=60 ms 
Reply from 10.0.200.1: bytes-56 Sequence=4 ttl=255 time-50 ms 





Reply froms10.0.200.1: bytes=56 Sequence=5 ttl=255 time=50 ms 
=== ff 0..QMA200.1 ping statistics =-= 
5 pasket/(s) transmitted 
&packet(s) received 
0.00$ packet loss 
round-trip min/avg/max = 50/52/60 ms 
[FWl1]display ipsec sa 
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Interface: Ethernet2/0/0 


path MTU: 1500 





IPsec policy name: "mapl" 
sequence number: 10 
mode: isakmp 
vpn: public 
connection id: 40003 
rule number: 5 
encapsulation mode: tunnel 
holding time: Od Oh 5m 21s 
tunnel local : 10.0.10.1 tunnel remote: 10.0.20.2 
flow source: 10.0.100.0-10.0.100.255 0-65535 (0 
flow destination: 10.0.200.0-10.0.200.255 0-65535 0 
[inbound ESP SAs] 
spi: 240396810 (0xe542a0a) 
vpn: 0 said: 34 cpuid: 0x0000 
proposal: ESP-ENCRYPT-DES ESP-AUTH-SHÉY 
sa remaining key duration (bytes/sec)¢ 1887436044/3279 
max received sequence-number: 9 
udp encapsulation used for nat traversal: N 
[outbound ESP SAs] 
spi: 208723708 (0xc70defc) 
vpn: 0 said: 35 cpuid* 0x0000 
proposal: ESP-ENCRYPT-DES “HSP-AUTH-SHA1 
sa remaining key dutation “bytes/sec): 1887436044/3279 
max sent sequencesmumbe¥: 10 


udp encapsulation used for nat traversal: N 


分 部 网 络 内 网 到 总 部 内 网 可 以 连 


章 防火 墙 特性 功能 


FW1 和 FW2 已 经 建立 GRE over IPSec VPN 通 道 。 实 现 了 RIP 路 由 信息 在 分 


部 网 络 和 总 部 网 络 的 传递 


步骤 七 ~、 配 置 分 支 办 公 室 与 总 部 之 间 的 GRE over IPSec VPN 


FW2 上 创建 Tunnel 接 口 ， 隧 道 采用 GRE 协 议 。 
将 Tunnel 接 口 添加 到 FW2 的 Untrust 区 域 。 


[FW2]interface tunnel 2 
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FW2-Tunnel2]tunnel-protocol gre 
FW2-Tunnel2]ip address 40.1.1.1 24 
FW2-Tunnel2]source 10.0.20.2 
FW2-Tunnel2]destination 10.0.23.3 


FW2-Tunnel2]firewall zone untrust 








FW2-zone-untrust]add interface Tunnel 2 


R3 上 创建 Tunnel 接 口 ， 隧 道 采用 GRE 协 议 。 K 


[R3] interface tunnel 0/0/1 
[R3-Tunne10/0/1]tunnel-protocol gre 
[R3-Tunnel0/0/1]ip address 40.1.1.2 24 
[R3-Tunne10/0/1]source 10.0.23.3 
[R3-Tunnel0/0/1]destination 10.0.20.2 


删除 以 上 步骤 配置 的 静态 路 由 ， 在 分 支 办 公 室 网 络 和 总 部 内 网 之 间 配 置 使 用 
RIP 路 由 协议 。RIP 协 议 使 用 版 本 2。 


FW2]undo ip route-static 10.0.3.0 24 10.0.20.1 
FW2]rip 
FW2-rip-l]version 2 


FW2-rip-1]network 40.0.0.0 


R3]undo ip route-static 10.0.200.0*524 10.0.23.2 
R3] rip 
R3-rip-1]version 2 


R3-rip-1]network 40.0.0.0 








R3-rip-1]network 10.0.0.0 


配置 ACL 定 义 GRE 封 装 之 后 的 数据 为 需要 被 IPSec 加 密 的 数据 流 。 
配置 安全 策略 ， 绑 定 新 的 ACL、IPSec 安 全 提议 及 IKE 对 等 体 


R3]acl 3001 

R3-acl-adv-3001] rule permit gre source 10.0.23.3 0 destination 10.0.20.2 0 
R3-acl-adv-300N quit 

R3]ipsec pgüiicy mapl 20 isakmp 

R3-ipsec-policy«isakmp-mapl-10]security acl 3001 
R3-ipsec-poltey-isakmp-map1-20]proposal tranl 
R3-igsSec*"wolicy-isakmp-mapl-20]ike-peer r32 


PWajacl 3003 
Wy 2-acY-adv-3003] rule permit gre source 10.0.20.2 0 destination 10.0.23.3 0 





FW2-acl-adv-3003] quit 





FW2]ipsec policy mapl 20 isakmp 
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[FW2-ipsec-policy-isakmp-mapl-20]security acl 3003 
[FW2-ipsec-policy-isakmp-mapl-20]proposal tranl 
[FW2-ipsec-policy-isakmp-mapl-20]ike-peer fw23 


其 他 配置 保持 不 变 。 
测试 分 支 办 公 室内 网 到 总 部 内 网 的 连通 性 ， 查 看 IPSec 建立 情况 。 


[R3]ping =à 10.0.3.3 10.0.200.1 X 
PING 10.0.200.1: 56 data bytes, press CTRL_C to break 
Reply from 10.0.200.1: bytes=56 Sequence=1 ttl=255 time=56 mg 


Reply from 10.0.200. bytes=56 Sequence=2 ttl=255 time=53 ms 
bytes=56 Sequence=3 ttl=255 time=54 ms. 
200. 


.200. 


Reply from 10. bytes-56 Sequence-4 ttl=255 time=54 ms 





0 

0 
Reply from 10.0.200. 

0 

0 


e re to to 


Reply from 10. bytes=56 Sequence=5 ttl=255 time=54 ms 
=== 10.0.200.1 ping statistics === 
5 packet(s) transmitted 
5 packet(s) received 
0.00% packet loss 
round-trip min/avg/max = 53/54/56 ms 
[R3]display ipsec sa 


Interface: Serial2/0/0 
Path MTU: 1500 


IPSec policy name: "mapi" 


Sequence number : 10 
Mode : ISAKMP 
Connection ID e 


Encapsulation mode: Tunnel 
Tunnel local : 10.0.23.3 


Tunnel remote 1910.0.20.2 


[Outbound ESR SAs] 
SPI: 145201056 (0x8a797a0) 
Proposal: ESP-ENCRYPT-DES-64 ESP-AUTH-SHA1 
SAXNremaining key duration (bytes/sec): 1887436380/2849 
Max sent sequence-number: 5 


UDP encapsulation used for NAT traversal: N 


[Inbound ESP SAs] 
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SPI: 1040062082 (0x3dfel682) 

Proposal: ESP-ENCRYPT-DES-64 ESP-AUTH-SHA1 

SA remaining key duration (bytes/sec): 1887436380/2849 
Max received sequence-number: 5 


UDP encapsulation used for NAT traversal: N 


IPSec policy name: "mapi" 4 
Sequence number : 20 
Mode : ISAKMP 

Connection ID 25 


Encapsulation mode: Tunnel 
Tunnel local t 10.0.23.3 


Tunnel remote : 10.0.20.2 


[Outbound ESP SAs] 
SPI: 97199512 (0x5cb2598) 
Proposal: ESP-ENCRYPT-DES-64 ESP-AUTH-SHAÍ 
SA remaining key duration (bytes/sec): 1887436200/3506 
Max sent sequence-number: 6 


UDP encapsulation used for NAT traversal: N 


[Inbound ESP SAs] 
SPI: 2570078602 (0x9930498a) 
Proposal: ESP-ENCRYPT-DES-64WgsP-AUTH-SHA1 
SA remaining key duration^(bytes/sec): 1887436176/3506 
Max received sequence-number: 5 


UDP encapsulation used forQNAT traversal: N 


分 支 办 公 室 网 络 到 总 部 内 网 可 以 连通 。 


FW2 和 R3 之 间 已 经 建立 GRE over IPSec VPN 通 道 。 实 现 了 RIP 信 息 在 分 支 
办 公 室 网 络 和 总 部 网 络 的 传递 。 


附加 实验 : 思考 并 验证 


骤 五 中 配置 分 支 办 公 室 与 总 部 之 间 的 IPSec 时 ，R3 不 使 用 IKEv2 与 FW2 协 
ms "IKE SA 能 建立 吗 ? 


终 设 备 配置 


[FW1]display current-configuration 
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# 

sysname FW1 

# 

acl number 3000 

rule 5 permit ip source 10.0.100.0 0.0.0.255 destination 10.0.200.0 0.0.0.255 
# 

acl number 3001 

rule 5 permit gre source 10.0.10.1 0 destination 10.0.20.2 0 YV 

# 
ike proposal 10 

# 

ike peer fwl2 

pre-shared-key abcde 

ike-proposal 10 

remote-address 10.0.20.2 

# 

ipsec proposal tranl 

esp authentication-algorithm shal 
# 

ipsec policy mapl 10 isakmp 
security acl 3001 

ike-peer fw12 

proposal tranl 

# 

interface Ethernet0/0/0 

ip address 10.0.100.1 255.255.2550 
# 

interface Ethernet2/0/0 

ip address 10.0.10.1 254455. 2.0 
ipsec policy mapl 

# 

interface Tunnell 

ip address 30.11 255.255.255.0 
tunnel-protocóW gre 

source 10.0,10.1 

destinatign 10€«Q.20.2 

# 

firewall zone local 

set praority 100 

# 

firewab zone trust 

set wfiority 85 

add interface Ethernet0/0/0 
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# 

firewall zone untrust 

set priority 5 

add interface Ethernet2/0/0 
add interface Tunnell 

# 

ospf 1 

area 0.0.0.0 K 
network 10.0.10.0 0.0.0.255 

# 

rip 1 

version 2 

network 30.0.0.0 

network 10.0.0.0 

# 


Return 


[FW2]display current-configuration 

# 

sysname FW2 

# 

acl number 3000 

rule 5 permit ip source 10.0.200.0 0.0.0.255 destination 10.0.100.0 0.0.0.255 
# 

acl number 3001 

rule 5 permit ip source 10.0.200% 0.0.0.255 destination 10.0.3.0 0.0.0.255 
# 

acl number 3002 

rule 5 permit gre sourceyl0.0-20.2 0 destination 10.0.10.1 0 
# 

acl number 3003 

rule 5 permit gre sout*ce 10.0.20.2 0 destination 10.0.23.3 0 
# 

ike proposal 10 

# 

ike peer f&21 

pre-shared-Key abcde 

ike-proposal 10 

remote-addréss 10.0.10.1 

# 

Me pees fw23 

pre-shared-key abcde 

&ke-proposal 10 


38 HUAWEI TECHNOLOGIES HC Series 


HCDP-IENP 第 一 章 防火 墙 特性 功能 


remote-address 10.0.23.3 

# 

ipsec proposal tranl 

esp authentication-algorithm shal 
# 

ipsec policy mapl 10 isakmp 
security acl 3002 

ike-peer fw21 

proposal tranl x 
# 

ipsec policy mapl 11 isakmp 
security acl 3001 

ike-peer c 

proposal tranl 

# 

ipsec policy mapl 20 isakmp 
security acl 3003 

ike-peer fw23 

proposal tranl 

# 

interface Ethernet0/0/0 

ip address 10.0.200.1 255.255.255.0 
# 

interface Ethernet2/0/0 

ip address 10.0.20.2 255.255.256.0 
ipsec policy mapl 

# 

interface Tunnell 

ip address 30.1.1.2 2554g685.225%90 
tunnel-protocol gre 

source 10.0.20.2 

destination 10.0.10.T 

# 

interface Tunnei2 

ip address ,40.1.1.%/255.255.255.0 
tunnel-protocok gre 

source 10.0.X0.7 

destihnatton 10.0.23.3 

# 

firewall zone local 

set prbority 100 

# 


firewall zone trust 
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set priority 85 
add interface Ethernet0/0/0 
# 
firewall zone untrust 
set priority 5 
add interface Fthernet2/0/0 
add interface Tunnell 
add interface Tunnel2 kW 
# 
firewall zone dmz 
set priority 50 
# 
ospf 1 
area 0.0.0.0 
network 10.0.20.0 0.0.0.255 
# 
rip 1 
version 2 
network 30.0.0.0 
network 10.0.0.0 
network 40.0.0.0 
# 


Return 


[R3]display current-configuration 

[V200R001C00SPC200] 

# 

sysname R3 

# 

acl number 3000 

rule 5 permit ip sgua wW. 0.3.0 0.0.0.255 destination 10.0.200.0 0.0.0.255 
# 

acl number 3001 

rule 5 permit gre soürce 10.0.23.3 0 destination 10.0.20.2 0 
# 

ipsec proposal *ranl 

esp authentieation-algorithm shal 

# 

ike proposal 10 

# 

Mme peew r32 v2 

pre-shared-key abcde 


&ke-proposal 10 
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remote-address 10.0.20.2 
# 
ipsec policy mapl 10 isakmp 
security acl 3000 
ike-peer r32 
proposal tranl 
# 
ipsec policy mapl 20 isakmp 
security acl 3001 X 
ike-peer r32 
proposal tranl 
# 
interface Serial2/0/0 
link-protocol ppp 
ip address 10.0.23.3 255.255.255.0 
ipsec policy mapl 
# 
interface LoopBack0 
ip address 10.0.3.3 255.255.255.0 
# 
interface Tunnel0/0/1 
ip address 40.1.1.2 255.255.255.0 
tunnel-protocol gre 
source 10.0.23.3 
destination 10.0.20.2 
# 
ospf 1 
area 0.0.0.0 
network 10.0.23.0 0.0.8yZ55 
# 
rip 1 
version 2 
network 40.0.0.0 
network 10.0.0%0 
# 


return 
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实验 1-3 防火 墙 攻击 防范 配置 
学 习 目 的 

。 ”掌握 防范 流量 型 攻击 的 配置 方法 

。 掌握 防范 扫描 窥探 型 攻击 的 配置 方法 
。 掌握 防范 畸形 报 文 攻击 的 配置 方法 
。 ”掌握 防范 特殊 报 文 攻击 的 配置 方法 


拓扑 图 


R3 





i S1 FW S2 
geg 0/0/21 E0/0/0 Ežo GO/0/9 
10.0.10.254/24 100.0.0.1/24、_ -100.0.02124 
6002 | Soon —  vianif 100 
10.0.10.2/24 G0/0/1 
R1 
10.0.40.1/24 


图 1-3 防火 墙 攻 击 防 范 配置 


场景 


你 是 公司 的 网 络 管理 员 。 现 在 公司 网 络 是 由 一 台 防 火 墙 和 一 台 交 换 机 组 成 ， 
Rl 是 公司 的 DHCP 服 务 器 ， 防 火 墙 作 为 公司 内 网 用 户 连 接 Internet 的 出 口 ,S2 模 
拟 外 网 的 计算 机 。 


为 了 提高 网 络 的 安全 性 ， 需 要 在 网 络 中 应 用 安全 策略 。 需 要 你 通过 在 防火 墙 
和 交换 机 上 配置 各 种 安全 策略 实现 对 内 外 网 的 保护 。 
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学 习 任务 


步骤 一 .基础 配置 与 IP 编 址 


给 所 有 设备 配置 IP 地 址 和 掩 码 。 


Huawei>system-view X 


Enter system view, return user view with Ctrl+Z. 


A 


[Huawei] sysname R1 
[Rl]interface GigabitEthernet0/0/1 
[R1-GigabitEthernet0/0/1]ip address 10.0.10.1 24 


^ 


Huawei»system-view 

Enter system view, return user view with Ctrl+Z. 
[Huawei]sysname R2 

[R2]interface GigabitEthernet0/0/1 
[R2-GigabitEthernet0/0/1]ip address 10.0.10.2 24 


^ 


Huawei»system-view 
Enter system view, return user view with Ctrl+Z. 
[Huawei]sysname R3 


[R3]interface GigabitEthernet0/0/1 





[R3-GigabitEthernet0/0/1]ip address 10.0+10.3 24 


«Quidway»system-view 
Enter system view, return user.view with Ctrl-*Zz. 


[Quidway]sysname S1 


^ 


USG2100>system-view 

Enter system view, xeturn user view with Ctrl+Z. 
USG2100]sysname FW 

FW]interface Eghexnet 0/0/0 

FW-Ethernet0/0/0]ip address 10.0.10.254 24 
FW-EthernefQ9/0/0]interface Ethernet 2/0/0 
FW-Ethernet2/0/0]ip address 100.0.0.1 24 
FW-Ethernet2/0/0]quit 

FW] firewall packet-filter default permit all 


FW]firewallY zone untrust 








FW-—zone-untrust]add interface Ethernet 2/0/0 


«Quidway»system-view 


Enter system view, return user view with Ctrl-*Zz. 
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Quidway]sysname S2 

S2]vlan 100 

S2-vlan100]quit 

S2]interface GigabitEthernet 0/0/9 

S2-GigabitEthernet0/0/9]port link-type access 
S2-GigabitEthernet0/0/9]port default vlan 100 
S2-GigabitEthernet0/0/9]quit 

S2]interface Vlanif 100 4 
S2-Vlanifl00]ip address 100.0.0.2 24 


]vlan 100 
-vlan100] quit 
jinterface GigabitEthernet 0/0/9 


-GigabitEthernet0/0/9]port default vlan 100 
-GigabitEthernet0/0/9]interface GigabitEthernet 0/0/23 
-GigabitEthernet0/0/23]port link-type access 





S 
S 
S 
S1-GigabitEthernet0/0/9]port link-type access 
S 
S 
S 
S 





-GigabitEthernet0/0/23]port default vlan 100 


关闭 S1 的 G0/0/10、G0/0/13 和 G0/0/14 接 口 ， 避 免 对 实验 造成 影响 。 


Jinterface GigabitEthernet 0/0/10 
-GigabitEthernet0/0/10]shutdown 
-GigabitEthernet0/0/10]interface GitgabitEthernet 0/0/13 
-GigabitEthernet0/0/13] shutdown 
-GigabitEthernet0/0/13]interface GigabitEthernet 0/0/14 








-GigabitEthernet0/0/14] shutdown 


配置 完成 后 ， 测试 直 连 链 路 的 连通 性 。 
[R1]ping =c 1 10.0.10.2 


PING 10.0.10.2: 56, data"bytes, press CTRL C to break 
Reply from 10.0.1072; bytes-56 Sequence-1 ttl-255 time-2 ms 


=== 10.0.10.2%ging Statistics === 
1 packets) transmitted 
1 packét(s) "eeceived 
0.00% packet Loss 


round-trip min/avg/max = 2/2/2 ms 
[fing -c 1 10.0.10.3 


PING $0.0.10.3: 56 data bytes, press CTRL C to break 
Régly from 10.0.10.3: bytes-56 Sequence-1 ttl-255 time-2 ms 
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=== 10.0,10.3 ping statistics === 
1 packet(s) transmitted 
1 packet(s) received 
0.00% packet loss 


round-trip min/avg/max = 2/2/2 ms 


[Rl]ping =c 1 10.0.10.254 
PING 10.0.10.254: 56 data bytes, press CTRL C to break X 
Reply from 10.0.10.254: bytes=56 Sequence=1 ttl=255 time=3 ms 


=== 10.0.10.254 ping statistics === 
1 packet(s) transmitted 
1 packet(s) received 
0.00% packet loss 


round-trip min/avg/max = 3/3/3 ms 


[FW]ping -c 1 100.0.0.2 
10:47:09 2011/12/27 
PING 100.0.0.2: 56 data bytes, press CTRL C to break 
Reply from 100.0.0.2: bytes-56 Sequence=1@¢t1l=254 time-1 ms 


=== 100.0.0.2 ping statistics === 
1 packet(s) transmitted 
1 packet(s) received 
0.00$ packet loss 


round-trip min/avg/max = 1/1/1*ms 


步骤 二 . 实现 网 络 互通 


各 模拟 计算 机 的 设备 只 需要 正确 配置 网 关 即 可 以 实现 网 络 互 通 。 
在 R1I、R2、/R3 和 和 S2 配 置 网 关 。 


Rl]ip route-statTw 0.0.0.0 0 10.0.10.254 
R2]ip routesstakic 0.0.0.0 0 10.0.10.254 


R3]iP«route*static 0.0.0.0 0 10.0.10.254 











S2]ip«route-static 0.0.0.0 0 100.0.0.1 


在 S2 上 测试 与 RI、R2、R3 的 连通 性 。 
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[S2]ping -c 1 10.0.10.1 
PING 10.0.10.1: 56 data bytes, press CTRL C to break 
Reply from 10.0.10.1: bytes-56 Sequence-1 ttl=254 time-1 ms 


=== 10.0.10.1 ping statistics === 
1 packet(s) transmitted 
1 packet(s) received 


0.00$ packet loss X 


round-trip min/avg/max = 1/1/1 ms 


[S2] ping -c 1 10.0.10.2 
PING 10.0.10.2: 56 data bytes, press CTRL C to break 
Reply from 10.0.10.2: bytes-56 Sequence-1 ttl-254 time=2\ms 


===. 10.0.10.2 ping statistics === 
1 packet(s) transmitted 
1 packet(s) received 
0.00$ packet loss 


round-trip min/avg/max - 1/1/1 ms 


[S2]ping -c 1 10.0.10.3 
PING 10.0.10.3: 56 data bytes, press @TRL C to break 
Reply from 10.0.10.3: bytes-56 Sequence-1 ttl1-254 time-1 ms 


===. 10.0.10.3 ping statistics &-- 
1 packet(s) transmitted 
1 packet(s) received 
0.00$ packet loss 


round-trip min/avg/max/- 1/1/1 ms 


步骤 三 。 配置 流量 型 攻击 防范 
攻击 者 可 以 发 送 大 量 的 无 用 数据 去 占用 过 多 的 服务 器 资源 。 使 服务 器 无 法 响 
应 正常 的 服务 请 求 ， 以 达到 服务 器 拒绝 服务 的 目的 。 


针对 这 种 攻击 我 们 可 以 为 设备 配置 SYN Flood 防 范 、TCP 全 连接 防范 、HTTP 
Flood 防 范 、、UDP Flood 防 范 和 ICMP Flood 防 范 这 些 方法 保护 网 络 。 


在 FW 的 E2/0/0 接 口上 开启 基于 TCP 反 向 源 探测 防范 功能 。 
[FW] firewall source-ip detect interface Ethernet 2/0/0 alert-rate 10000 max-rate 


30000 
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在 FW 上 开启 TCP 全 连接 防范 功能 。 


[FW]firewall blacklist enable 

[FW] firewall session link-state check 

[FW] firewall defend tcp-illegal-session enable 

Warning: Configuring this command will affect the P2P service. To protect the 
server from TCP connection exhaustion, configure this command. 

Continue? [Y/N]:y 


xX 


在 FW 的 E2/0/0 接 口上 开启 HTTP Flood 防 范 功能 。 


[FW] firewall defend http-flood enable 
[FW] firewall defend http-flood source-detect interface Ethernet 2/0/0 alert-rate 
10000 max-rate 30000 


在 FW 的 E2/0/0 接 口上 开启 UDP Flood 防 范 功能 。 


[FW] firewall defend udp-flood enable 
[FW] firewall defend udp-flood interface Ethernet2%0/0 max-rate 20000 


在 FW 的 E2/0/0 接 口上 开启 ICMP Flood 防 范 功能 。 


[FW] firewall defend icmp-flood enable 
[FW] firewall defend icmp-flood interface Ethernet 2/0/0 max-rate 10000 


步骤 四 . Wës aie 


攻击 者 发 送 目 的 端口 不 断 变 化 的 数据 包 来 了 解 目的 提供 的 服务 种 类 和 潜在 
安全 漏洞 . 针对 这 种 寅 探 我 们 可 以 为 设备 配置 端口 扫描 攻击 防范 功能 来 保护 网 络 。 


在 FW 上 开启 端口 扫 搞 攻击 防 学 功能 。 


[FW] firewall defend poxt-scan enable 


[FW] firewall defénd port-scan max-rate 5000 


步骤 五 . 人 配置 畸形 报 文 攻击 防范 


攻击 者 如 果 向 系统 发 送 有 缺陷 的 I1P 报 文 ， 就 有 可 能 使 目标 系统 在 处 理 这 些 报 
文 时 出 错 > 从 而 达到 影响 目标 系统 正常 运行 的 目的 。 一 个 安全 的 网 络 需要 保障 用 
户 系统 的 正常 运行 ， 针 对 这 种 攻击 可 以 为 设备 配置 Smurf 攻 击 防 范 、Land 攻 击 
防范 、Fraggle 攻 击 防范 等 等 。 同 时 在 接 入 层 网 络 上 通过 部 署 DHCP Snooping 
等 安全 措施 整体 提升 网 络 安全 。 
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在 FW 上 开启 Smurf 攻 击 防范 功能 。 


[FW] firewall defend smurf enable 


在 FW 上 开启 Land 攻 击 防范 功能 。 


[FW] firewall defend land enable 


在 FW 上 开启 Fraggle 攻 击 防范 功能 。 kW 


[FW] firewall defend fraggle enable 


在 FW 上 开启 IP 分 片 报 文 攻击 防范 功能 。 


[FW] firewall defend ip-fragment enable 


在 FW 上 开启 TCP 报 文 标志 位 攻击 防范 功能 。 


[FW] firewall defend tcp-flag enable 


将 R1 配 置 为 DHCP 服 务 器 。 


]dhcp enable 

Jinterface GigabitFthernet 0/0/1 
-GigabitEthernet0/0/1]dhcp select global 
-GigabitEthernet0/0/1] quit 

lip pool company 

-ip-pool-company]network 10.0410.0\mask 24 
-ip-pool-company]excluded-ip-address 10.0.10.1 








DB N X oW FH HF ND A 





-ip-pool-company]gateway-list 10.0.10.254 


将 R2 和 R3 的 G0/0/1 接 口 配 置 为 自动 获取 IP 地 址 。 


[R2]dhcp enable 

[R2]interface GigabitEthernet 0/0/1 
[R2-GigabitEthernet0/0/1]undo ip address 
[R2-GigabitEthernet0/0/1]ip address dhcp-alloc 

Info: The operation may take a few seconds, please wait. 


Succeed. 


[R3] dhép«enable 

[R3]interface GigabitEthernet 0/0/1 
[R3-Gigabtt€Ethernet0/0/1]undo ip address 
[R3-GfgabitEthernet0/0/1]ip address dhcp-alloc 

Info; The operation may take a few seconds, please wait. 


Succeed. 
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在 S1 上 开启 DHCP Snooping 功 能 ， 并 为 接口 配置 信任 关系 。 


]dhcp enable 

]dhcp snooping enable 

Jinterface GigabitFthernet 0/0/1 

-GigabitEthernet0/0/1]dhcp snooping trusted 
-GigabitEthernet0/0/1]inter GigabitEthernet 0/0/2 
-GigabitEthernet0/0/2]dhcp snooping enable 
-GigabitEthernet0/0/2]inter GigabitEthernet 0/0/3 X 








In mn Do Do n 


-GigabitEthernet0/0/3]dhcp snooping enable 


查看 R1 的 G0/0/1 接 口 MAC 地 址 和 FW 的 E0/0/0 接 口 MAC 地 址 ， 并 配置 静态 
FAP She. 


Rljdisplay interface GigabitEthernet 0/0/1 
GigabitEthernet0/0/1 current state : UP 

Line protocol current state : UP 

Last line protocol up time : 2011-12-27 10:21:41 


Description:HUAWEI, AR Series, GigabitEthernet0/0/1*Interface 





Route Port,The Maximum Transmit Unit is 1500 

Internet Address is 10.0.10.1/24 

IP Sending Frames' Format is PKTFMT ETHNT 2, Hardware address is 5489-9876-81f0 
Last physical up time : 2011-12-27 10:840} 

Last physical down time : 2011-12-27410:13:48 

Current system time: 2011-12-27 1624:49 

Port Mode: COMMON COPPER 

Speed : 1000, Loopback: NONE 

Duplex: FULL, Negotiation: ENABLE 

Mdi : AUTO 

Last 300 seconds input rate 704 bits/sec, 0 packets/sec 

Last 300 seconds output/rate 0 bits/sec, 0 packets/sec 

Input peak rate 7392 bitsf#sec,Record time: 2011-12-27 10:17:53 
Output peak rate 2816 bits/sec,Record time: 2011-12-27 10:17:13 


Input: 12040 påekets, 1641163 bytes 


Unicast: 0, Multicast: 0 
Broadcast: 0, Jumbo: 0 
Discard: 0, Total Error: 0 


[BWhdisplay interface Ethernet 0/0/0 
Ethernet0/0/0 current state : UP 
Line ‘protocol current state : UP 


Description : Huawei, usg2160 serials, Ethernet0/0/0 Interface, Route Port 
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The Maximum Transmit Unit is 1500 bytes, Hold timer is 10(sec) 

Internet Address is 10.0.10.254/24 

IP Sending Frames' Format is PKTFMT ETHNT 2, Hardware address is 0022-a109-68b2 
Media type is twisted pair, loopback not set, promiscuous mode not set 
100Mb/s-speed mode, Full-duplex mode, link type is auto negotiation 

Output flow-control is unsupported, input flow-control is unsupported 


QoS max-bandwidth : 100000 Kbps 


Output queue : (Urgent queue : Size/Length/Discards) 0/50/0 74 
Output queue : (Frag queue : Size/Length/Discards) 0/1000/0 

Output queue : (Protocol queue : Size/Length/Discards) 0/1000/0 

Output queue : (FIFO queue : Size/Length/Discards) 0/256/0 


Last 300 seconds input rate 59.50 bytes/sec, 0.50 packets/Sec 
Last 300 seconds output rate 0.00 bytes/sec, 0.00 packets/sec 
Input: 11778 packets, 1527521 bytes 

478 broadcasts (4.06%), 11230 multicasts (95.35%) 

0 runts, O giants, 
errors, 0 CRC, 
collisions, 0 late collisions, 0 overruns, 


jabbers, 0 input no buffers, 0 Resoufce errors, 


O oO co CO 


other errors 


[S1]user-bind static ip-address 10.0.10.1 mac-address 5489-9876-81f0 
[S1]user-bind static ip-address 10$0.102254 mac-address 0022-a109-68b2 


开启 IP 源 防 攻击 功能 。 


Sllinterface GigabitEthernetg 0/072 

S1-GigabitEthernet0/0/2]ip source check user-bind enable 

nfo: Add permit rule for @ynamic snooping bind-table, please wait a minute! 
S1-GigabitEthernet0/0/2]interface GigabitEthernet 0/0/3 


S1-GigabitEthernet0V/0/3]Yp source check user-bind enable 





nfo: Add permit rule for dynamic snooping bind-table, please wait a minute! 


配置 IP 报 文 检查 选项 。 


Sl]linterflace GftgabitEthernet 0/0/2 

S1-GigabitEthernet0/0/2]ip source check user-bind check-item ip-address 
mac-agdress 

nfo: Change/permit rule for dynamic snooping bind-table, please wait a minute! 
S1-GigabitEthernet0/0/2]interface GigabitEthernet 0/0/3 
Sl-GigabitEthernet0/0/3]ip source check user-bind check-item ip-address 


mac-address 





hfo: Change permit rule for dynamic snooping bind-table, please wait a minute! 
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配置 ARP 报 文 源 MAC 地 址 检查 功能 。 


[S1]arp anti-attack packet-check sender-mac 


配置 防止 ARP 中 间 人 攻击 。 


[S1]interface GigabitEthernet 0/0/2 

[S1-GigabitEthernet0/0/2]arp anti-attack check user-bind enable 
[S1-GigabitEthernet0/0/2]arp anti-attack check user-bind check-item ip=address 
mac-address 

Info: Change permit rule for dynamic dhcp snooping bind-table,;*pie8se wait a 
minute! 

[S1-GigabitEthernet0/0/2]interface GigabitEthernet 0/0/3 
[S1-GigabitEthernet0/0/3]arp anti-attack check user-bind enable 
[S1-GigabitEthernet0/0/3]arp anti-attack check user-bind check-item ip-address 
mac-address 

Info: Change permit rule for dynamic dhcp snooping bind-table, please wait a 


minute! 


步骤 六 . 配置 特殊 报 文 攻击 防御 


攻击 者 可 以 利用 一 些 很 少 用 到 的 合法 报 文 对 网 络 进行 侦察 。 针 对 这 种 攻击 可 
以 为 设备 配置 超大 ICMP 攻 击 防 范 、IGMP 重 定向 报 文 攻击 防范 、ICMP 不 可 达 报 
文 攻击 防范 等 等 功能 提升 网 络 安全 性 。 


在 FW 上 开启 超大 ICMP 报 交 攻 击 防范 功能 。 


[FW] firewall defend largesicmp enable 
[FW] firewall defend large-iemp max-length 3000 


在 FW 上 开启 ICMP 重 定向 报 文 攻击 防范 功能 。 


[FW] firewall defendsicmp-redirect enable 


在 FW 上 开启 ICMP 不 可 达 报 文 攻击 防范 功能 。 


[FW] firewall*defénd icmp-unreachable enable 


在 FW 上 开启 带路 由 记录 项 的 IP 报 文 攻击 防 学 功能 。 


LEW] firewall defend route-record enable 


在 FW 上 配置 带 源 路 由 选项 的 IP 报 文 攻击 防范 功能 。 
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[FW] firewall defend source-route enable 


在 FW 上 配置 Tracert 报 文 攻击 防范 功能 。 


[FW] firewall defend tracert enable 


在 FW 上 配置 带 时 间 戳 选项 的 IP 报 文 攻击 防范 功能 。 


[FW]firewall defend time-stamp enable X 


附加 实验 : 思考 并 验证 


在 实际 的 网 络 中 ， 防 火 墙 能 起 到 的 作用 往往 很 有 限 ， 往 往 我 们 需要 IPs 设 备 
进行 另外 一 个 层面 的 攻击 防范 。 


请 搜索 关于 IPs 的 相关 知识 ， 并 对 比 它 与 防火 墙 的 差异 ; 


最 终 设备 配置 


[FW] displ 


# 


firewall 
firewall 
firewall 
firewall 
firewall 
firewall 
firewall 
firewall 
firewall 
firewall 
firewall 


firewall 


firewall 
firewall 
firewall. 
firewall 
firewall 
firewall 
firewall 


firewall 








firewall 


ay current-configuration 


packet-filter default permit intewzone local trust direction inbound 
packet-filter default permit $nterzone local trust direction outbound 
packet-filter default permit interzone local untrust direction inbound 
packet-filter default permit interzone local untrust direction outbound 
packet-filter default, permit interzone local dmz direction inbound 

packet-filter defawltp@rmit interzone local dmz direction outbound 
packet-filter def£aultwpermit interzone trust untrust direction inbound 
packet-filter default permit interzone trust untrust direction outbound 
packet-filter default permit interzone trust dmz direction inbound 

packet-filter default permit interzone trust dmz direction outbound 
packetzfilter default permit interzone dmz untrust direction inbound 


packet-filter default permit interzone dmz untrust direction outbound 


defend tcp-illegal-session enable 
def£end /http-flood enable 

defend port-scan enable 

defend time-stamp enable 

defend route-record enable 

defend source-route enable 

defend ip-fragment enable 


defend tcp-flag enable 








defend fraggle enable 
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firewall defend tracert enable 

firewall defend icmp-unreachable enable 
firewall defend icmp-redirect enable 
firewall defend large-icmp enable 
firewall defend icmp-flood enable 
firewall defend udp-flood enable 
firewall defend smurf enable 

firewall defend land enable 

firewall defend port-scan max-rate 5000 


firewall defend large-icmp max-length 3000 








xX 


firewall defend http-flood source-detect interface Ethernet2/0/0 alert-rate 


10000 max-rate 30000 


firewall source-ip detect interface Ethernet2/0/0 alert-rate 10000 max-rate 


30000 


firewall defend icmp-flood interface Ethernet2/0/0 max-rate 10000 








firewall defend udp-flood interface Ethernet2/0/0 max-rate 20000 


# 

interface Ethernet0/0/0 

ip address 10.0.10.254 255.255.255.0 
# 
interface Ethernet2/0/0 

ip address 100.0.0.1 255.255.255.0 
# 
interface NULLO 
# 


firewall zone untrust 





set priority 5 

add interface Ethernet0/0/0 
add interface Ethernet2A0/0 
# 

firewall zone dmz 

set priority 50 

# 

firewall blackhist enable 

# 


return 


[S1]display current-configuration 

# 

!SoO£tware Version V100R006C00SPC800 
sysname S1 

# 

wlan batch 100 
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dhcp enable 

dhcp snooping enable 

user-bind static ip-address 10.0.10.1 mac-address 5489-9876-81f0 
user-bind static ip-address 10.0.10.254 mac-address 0022-a109-68b2 
# 

interface GigabitEthernet0/0/1 

dhcp snooping trusted 4 
# 
interface GigabitEthernet0/0/2 

dhcp snooping enable 

arp anti-attack check user-bind enable 

arp anti-attack check user-bind check-item ip-address mac-address 
ip source check user-bind enable 

ip source check user-bind check-item ip-address mac-address 
# 

interface GigabitEthernet0/0/3 

dhcp snooping enable 

arp anti-attack check user-bind enable 

arp anti-attack check user-bind check-item $p-address mac-address 
ip source check user-bind enable 

ip source check user-bind check-item ipfaddress mac-address 
# 

interface GigabitEthernet0/0/9 

port link-type access 

port default vlan 100 

# 

interface GigabitEthernet0/0/10 

shutdown 

# 

interface GigabitEthernet0/0/13 

shutdown 

# 

interface GigabitEthepnet0/0/14 

shutdown 

# 

interface GigabitEthernet0/0/23 

port Aink-type access 

port default vlan 100 

# 

imterfadee GigabitEthernet0/0/24 

# 


return 
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实验 1-4USG 防火 墙 NAT 配置 
学 习 目 的 
。 ”掌握 在 USG 防 火 墙 上 配置 NAT Easy IP 的 方法 
掌握 在 USG 防 火 墙 上 基于 地 址 池 配 置 NAPT 的 方法 


° ”掌握 在 USG 防 火 墙 上 配置 NAT Server 的 方法 
° ”掌握 在 USG 防 火 墙 上 配置 域内 NAT Server 的 方法 


拓扑 图 


E0/0/0 





E2/0/0 






__ E1/0/0 G0/0/22 


G0/0/23, ^^^ 


> 





10.0.40.0/24 4 





图 1-4 USG 防 火 墙 NAT 配 置 


场景 
你 是 你 们 公司 的 网 络 管理 员 。 公 司 的 网 络 使 用 防火 墙 隔离 成 三 个 区 域 。 现 在 
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内 部 网 络 Trust 区 域 的 用 户 需 要 能 够 访问 外 部 区 域 。 并 且 需 要 将 DMZ 区 域 中 的 一 
台 服 务 器 ( IP 地 址 为 10.0.4.4 ) 提供 的 Telnet 服 务 和 FTP 服 务 发 布 出 去 ， 对 外 公 
开 的 地 址 为 1.1.1.100/24。 


此 外 ， 还 需要 将 内 部 网 络 一 台 服 务 器 10.0.3.3 提 供 的 Telnet 服 务 发 布 出 去 | 
使 Trust 区 域 的 用 户 能 够 使 用 1.1.1.200/24 访 问 。 其 他 方向 的 访问 被 禁止 。 


学 习 任 务 K 


步骤 一 .基本 配置 与 IP 编 址 


给 所 有 路 由 器 配置 1P 地 址 和 掩 码 。 配 置 时 注意 所 有 的 Loopback 接 口 配 置 掩 
码 均 为 24 位 。 


<Huawei>system-view 

Enter system view, return user view with Ctrl+Z. 
Huawei]sysname R1 

Rl]interface GigabitFthernet 0/0/1 


[ 
[ 
[R1-GigabitEthernet0/0/1]ip address 1.1.1.1 24 
[R1-GigabitEthernet0/0/1]interface loopback 0 
[ 


Rl-LoopBack0]ip address 10.0.1.1 24 


<Huawei>system-view 

Enter system view, return user view with Ctrl+Z. 
[Huawei]sysname R2 

[R2]interface GigabitEthernet0/0/1 
[R2-GigabitEthernet0/0/1]ip address 10.0.20.2 24 
[R2-GigabitEthernet0/0/1]interfáce loopback 0 
[R2-LoopBack0]ip address 104.022.2 24 


<Huawei>system-view 

Enter system view, return user view with Ctrl+Z. 
[Huawei]sysname R3 

[R3]interface GigabitEthernet0/0/1 
[R3-GigabitEthernet0/0/1]ip address 10.0.20.3 24 
[R3-GigabitEthernet0/0/1]interface loopback 0 
[R3-LogpBack0]ip address 10.0.3.3 24 


<Huawei>system-view 
Enter*"&ystem view, return user view with Ctrl*Z. 
[Huawei] sysname R4 


[R4] interface GigabitEthernet 0/0/1 





R4-GigabitEthernet0/0/1]ip address 10.0.40.4 24 
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[R4-GigabitEthernet0/0/1]interface loopback 0 
[R4-LoopBack0O]ip address 10.0.4.4 24 


给 防火 墙 配 置地 址 时 ， 需 要 注意 Ethernet1/0/0 接 口 为 二 层 交 换 机 接口 ， 无 
法 配置 IP 地 址 。 实 验 中 我 们 在 防火 墙 上 配置 VLAN12， 定义 Vlanif12。 配 置 IP 地 
址 作为 Inside 区 域 的 网 关 ， 使 用 IP 地 址 10.0.20.254/24。 


默认 情况 下 防火 墙 会 给 它 的 Vlanif1 配 置地 址 ,实验 中 为 避免 干扰 ,删除 该 配 
置 。 


<USG2100>system-view 

Enter system view, return user view with Ctrl+Z. 
USG2100]sysname FW 

FW]vlan 12 

FW-vlan-12] quit 

FW]interface Vlanif 12 

FW-Vlanifl2]ip address 10.0.20.254 24 





FW-Vlanifl2]interface ethernet 1/0/0 
FW-Ethernetl/0/0]port access vlan 12 
FW-Ethernet1/0/0]interface Ethernet 0/0/0 
FW-Ethernet0/0/0]ip address 1.1.1.254 24 
FW-Ethernet0/0/0]interface ethernet 2/0/0 
FW-Ethernet2/0/0]ip address 10.0.40.254 24 








FW-Ethernet2/0/0]quit 


FW] interface vlanif 1 








FW-Vlanifl]undo ip address 


在 交换 机 上 将 G60/0/1 与 G0/0/21 接 口 定 义 到 VLAN11。 将 G0/0/2、G0/0/3 
与 G0/0/22 接 口 定义 到 VLAN12。 将 G0/0/4 与 G0/0/23 接 口 定 义 到 VLAN13。 


Quidway]sysname S1 

]vlan batch 11 to 13 

]interface GigabitEthernet 0/0/1 
-GigabitEthernet0/0/1]port link-type access 
-GigabitEthernet0/0/1]port default vlan 11 
-GigabitEthernet0/0/1]interface GigabitEthernet 0/0/2 
-GigabitgEthernet0/0/2]port link-type access 
-GigabitEthernet0/0/2]port default vlan 12 
-GigabitEthernet0/0/2]interface GigabitEthernet 0/0/3 
-GigabitEthernet0/0/3]port link-type access 
1-GigabitEthernet0/0/3]port default vlan 12 
-GigabitEthernet0/0/2]interface GigabitEthernet 0/0/4 
*GigabitEthernet0/0/3]port link-type access 





-GigabitEthernet0/0/3]port default vlan 13 





S 
S 
S 
S 
S 
S 
S 
S 
S 
S 
S 
S 
S 
S 











-GigabitEthernet0/0/3]interface GigabitEthernet 0/0/21 
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-GigabitEthernet0/0/21]port link-type access 
-GigabitEthernet0/0/21]port default vlan 11 


-GigabitEthernet0/0/22]port link-type access 
-GigabitEthernet0/0/22]port default vlan 12 





-GigabitEthernet0/0/23]port link-type access 

















nn 0 uon ouo o n 





-GigabitEthernet0/0/23]port default vlan 13 


步骤 二 . 配置 静态 路 由 ， 实 现 网 络 的 连通 性 


-GigabitEthernet0/0/21]interface GigabitEthernet 0/0/22 


-GigabitEthernet0/0/22]interface GigabitEthernet 0/0/23 


在 R2、R3 和 R4 上 配置 缺 省 路 由 ， 在 FW 上 配置 明确 的 静态 路 由 ， 实 现 四 个 
Loopback0 接 口 连接 的 网 段 之 间 的 互通 。R1 无 需 定 义 缺 省 路 由 ， 原 因 是 其 作为 


Internet 设 备 ， 它 不 需要 知道 内 部 和 DMZ 区 域 的 私有 网 络 信息 。 


R2]ip route-static 0.0.0.0 0 10.0.20.254 


R3]ip route-static 0.0.0.0 0 10.0.20.254 


R4]ip route-static 0.0.0.0 0 10.0.40.254 


FW]ip route-static 10.0.2.0 24 10.0$20.2 
FW]ip route-static 10.0.3.0 24 1020.20.3 








FW] ip route-static 10.0.4.0 24 $40.0.40.4 











FW]ip route-static 0.0.0.0 0 1.1.41 


步骤 三 . 将 接口 配置 到 安全 区 域 


dmz ", 


防火 墙 上 默认 有 四 个 区 域 ， 分 别 是 "local ". " trust ", " untrust "^, ” 


实验 中 我 们 使 用 到 “trust“、”untrust“ 和 ”dmz“ 三 个 区 域 。 


FW] firewall zone dmz 

FW-zone-dmz]add/ interface Ethernet 2/0/0 
FW-zofñe-smz]firewall zone trust 
FW-zone-truSt]add interface Vlanif 12 


EW-zone-trust]firewall zone untrust 








EW-zone-untrust]add interface Ethernet 0/0/0 
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配置 区 域 间 的 安全 过 滤 


配置 从 Trust 区 域 的 网 段 10.0.2.0 和 10.0.3.0 发 往 Untrust 区 域 的 数据 包 被 放 
行 。 从 Untrust 区 域 发 往 DMZ 目 标 服务 器 10.0.4.4 的 Telnet 和 FTP 请 求 被 放行 。 


FW]policy 











步骤 五 . 


FW-policy- 


FW-policy- 


FW-policy- 
FW-policy- 
FW-policy- 
FW-policy- 
FW-policy- 


FW-policy- 


FW]firewall session link-state check 

FW]policy interzone trust untrust outbound 
FW-policy-interzone-trust-untrust-outbound]policy 0 X 
FW-policy-interzone-trust-untrust-outbound-0]policy source 10.0.20 00.0.0.255 
FW-policy-interzone-trust-untrust-outbound-0]policy source 10.0434 0p0.0.0.255 


FW-policy-interzone-trust-untrust-outbound-0]action permit 











interzone-trust-untrust-outbound-0]quit 





interzone-trust-untrust-outbound]quit 
interzone dmz untrust inbound 
interzone-dmz-untrust-inbound]policy 0 
interzone-dmz-untrust-inbound-0]policy destination 10.0.4.4 0 
interzone-dmz-untrust-inbound-0]policy service service-set telnet 


interzone-dmz-untrust-inbound-0]poliC€y Service service-set ftp 





interzone-dmz-untrust-inbound-0]actionspermit 








interzone-dmz-untrust-inbound-0]guit 


配置 Easy-IP， 实 现 ,Trust 区 域 到 Untrust 区 域 的 访问 


配置 使 用 Easy-IP， 进 行 NAT 源 地 址 转换 。 并 且 将 NAT 与 接口 进行 绑 定 。 


CH 


el, 0. 255 








FW]nat-pol 
FW-nat-pol 
FW-nat-pol 


FW-nat-pol 





FW-nat-pol 


icy interzone trust "üntrust outbound 
icy-interzone-trusStedntrust-outbound]policy 0 


icy-interzone-ttfust-untrust-outbound-0]policy source 10.0.2.0 


icy-interzóne-trust-untrust-outbound-0]action source-nat 


icy-interzone-trust-untrust-outbound-0]easy-ip Ethernet 0/0/0 


配置 完成 后 ， 验 证 Trust 区 域 与 Untrust 区 域 之 间 的 访问 是 否 正常 。 


[R2]ping 10.0.1%1 


PING 10.0.1°4:/56 data bytes, press CTRL C to break 


Request 
Request 
Request 


Request 





Request 


time out 
fime out 
time out 
time out 


time out 
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=== 10.0.1.1 ping statistics === 
5 packet(s) transmitted 
0 packet(s) received 


100.00% packet loss 








[R2] ping =a 10.0.2.2 10.0.1.1 
PING 10.0.1.1: 56 data bytes, press CTRL C to break 
Reply from 10.0.1.1: bytes-56 Sequence=1 ttl-254 time=4 ms 4 
Reply from 10.0.1.1: bytes=56 Sequence=2 ttl=254 time=3 ms 
Reply from 10.0.1.1: bytes=56 Sequence=3 ttl=254 time=3 ms 
Reply from 10.0.1.1: bytes=56 Sequence=4 ttl=254 time=3 ms 
Reply from 10.0.1.1: bytes=56 Sequence=5 ttl=254 time=3 ms 


=== 10.0.1.1 ping Statistics === 
5 packet(s) transmitted 
5 packet(s) received 
0.00% packet loss 


round-trip min/avg/max = 3/3/4 ms 


主意 ， 直 接 测试 R2 与 10.0.1.1 之 间 的 连通 性 ,， 显示 不 通 。 使 用 扩展 Ping , Je 
ETES 关 数 据 包 的 源 地 址 为 10.0.2.2 后 ， 实 现 了 了 连通 性 。 


原因 是 ， 直 接 发 送 数据 包 到 10.0.1.1 时 4 和 数据 包 的 源 地 址 为 10.0.20.2， 该 地 
址 不 属于 NAT 转 换 的 客户 端 地 址 范围 。 


[FW]display nat-policy interzone\trust untrust outbound 
10:46:37 2011/12/26 
nat-policy interzone trust untfust outbound 
policy 0 (1 times matched) 
action source-nat 


policy service service-set ip 


policy source 10.0.24 90«0.0.255 


policy destination any 


easy-ip Ethernét0/0/0 


步骤 六 . /配置 Address-Group， 实 现 Trust 区 域 到 Untrust 区 域 
的 访问 


配置 使 用 Address-Group， 进 行 NAT 源 地 址 转换 。 并 且 将 NAT 与 
Addrsss-Group 进 行 绑 定 。 


[FW]nat address-group 1 1.1.1.3 1.1.1.10 


[FW] nat-policy interzone trust untrust outbound 
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[FW-nat-policy-interzone-trust-untrust-outbound]policy 1 
[FW-nat-policy-interzone-trust-untrust-outbound-0]policy source 10.0.3.0 
0.0.0.255 

[FW-nat-policy-interzone-trust-untrust-outbound-0]action source-nat 


[FW-nat-policy-interzone-trust-untrust-outbound-0]address-group 1 





配置 完成 后 ， 验 证 Trust 区 域 与 Untrust 区 域 之 间 的 访问 是 否 正 常 。 
[R3]ping =a 10.0.3.3 10.0.1.1 X 
PING 10.0.1.1: 56 data bytes, press CTRL_C to break 
Reply from 10.0.1.1: bytes=56 Sequence=1 ttl=254 time=12 ms 
Reply from 10.0.1.1: bytes=56 Sequence=2 ttl=254 time=3 ms 
Reply from 10.0.1.1: bytes=56 Sequence=3 ttl=254 time=4 ms 
Reply from 10.0.1.1: bytes=56 Sequence=4 ttl=254 time=2 ms 
Reply from 10.0.1.1: bytes-56 Sequence=5 ttl=254 timé=3 ms 


=== 0.0.1.1 ping statistics === 
5 packet(s) transmitted 
5 packet(s) received 
0.00% packet loss 


round-trip min/avg/max = 2/4/12 ms 


使 用 扩展 Ping， 指 定 了 发 送 数据 包 的 源 地址 为 10.0.3.3 后 ， 实 现 了 连通 性 。 


[FW]display nat-policy interzone t%ust Uptrust outbound 
10:52:37 2011/12/26 
nat-policy interzone trust untrust\outbound 
policy 0 (1 times matched) 
action source-nat 
policy service service^set ip 
policy source 10.0.240/0.0*0.255 
policy destination, any 


easy-ip Ethernet0/0/0 


policy 1 (1 times matched) 
action souxce-nat 


policy servicesservice-set ip 


policy sourde 10.0.3.0 0.0.0.255 
policy destination any 


addréss-greup il 


Trust 区 域 的 10.0.2.0/24 和 10.0.3.0/24 都 可 以 实现 到 Untrust 区 域 的 访问 。 
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步骤 七 . 将 内 网 服务 器 10.0.4.4 发 布 出 去 


配置 内 网 服务 器 10.0.4.4 的 Telnet 和 FTP 服 务 ， 映 射 到 地 址 1.1.1.100。 


[FW]nat server protocol tcp global 1.1.1.100 telnet inside 10.0.4.4 telnet 
[FW]nat server protocol tcp global 1.1.1.100 ftp inside 10.0.4.4 ftp 


FTP 是 多 通道 协议 ，NAT 转 换 过 程 中 需要 配置 NAT ALG 功 能 。 = 
在 DMZ 和 Untrust 域 间 配 置 NAT ALG ， 使 服务 器 可 以 正常 对 外 提供 FTP 服 务 。 


[FW]firewall interzone dmz untrust 


[FW-interzone-dmz-untrust]detect ftp 


在 R4 上 开启 Telnet 和 FTP 功 能 ， 并 在 R1 上 测试 ， 测 试 时 需 注意 ， 对 外 发 布 的 
地 址 为 1.1.1.100， 所 以 R1 对 10.0.4.4 访 问 时 ， 访 问 的 目标 地 址 应 为 1.1.1.100。 


R4]aaa 

R4-aaa]local-user huawei password simple huawei 
R4-aaa]local-user huawei service-type ftp 
R4-aaa]local-user huawei ftp-directory flash: 
R4-aaa] quit 

R4]user-interface vty 0 4 
R4-ui-vty0-4]authentication-mode none 


R4-ui-vty0-4] quit 





RA]ftp server enable 





<R1l>telnet 1.1.1.100 
Press CTRL ] to quit telnet mode 
Trying 1.1.1.100 i... 
Connected to 1.1.1.1Q%... 
<R4>quit 
<Rl>ftp 1.1.1.100 
Trying 1.1.1.100f'*,. 
Press CTRL+K tOwabort 
Connected to. 1.1.1.%00. 
220 FTP servicewready. 
User (1.1.1.10@: (none) ) :huawei 
331 PaSsWerd required for huawei. 
Enter password: 


230wUser logged in. 


fai- 


Untrust 区 域 可 以 访问 DMZ 区 域 1.1.1.100/24 提 供 的 Telnet 和 FTP 服 务 。 
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步骤 八 . 配置 域内 NAT, SCH Trust 区 域 能 够 访问 1.1.1.200 


配置 内 网 服务 器 10.0.3.3 的 NAT Server 服 务 ， 映 射 到 地 址 1.1.1.200。 


[FW]nat server protocol tcp global 1.1.1.200 telnet inside 10.0.3.3 telnet 


配置 域内 NAT ， 内 网 用 户 访问 1.1.1.200 的 源 地 址 进行 转换 ， — 
址 。 


FW]nat-policy zone trust 
FW-nat-policy-zone-trust]policy 0 
FW-nat-policy-zone-trust-0]policy source 10.0.2.0 0.0.0.255 
FW-nat-policy-zone-trust-0]policy destination 1.1.1.200 0 


FW-nat-policy-zone-trust-0]action source-nat 




















FW-nat-policy-zone-trust-0]address-group 1 


在 R3 上 开启 Telnet 功 能 ， 并 在 R2 上 测试 。 测 试 时 需 注意 ， 对 外 发 布 的 地 址 
为 1.1.1.200， 所 以 R2 对 10.0.3.3 访 问 时 ， 访 问 的 目标 地 址 应 为 1.1.1.200。 


[R3]user-interface vty 0 4 


[R3-ui-vty0-4]authentication-mode none 


<R2>telnet -a 10.0.2.2 1.1.1.200 
Press CTRL ] to quit telnet mode 
Trying 1.1.1.200. sss 
Connected to 1.1.1.200 ... 

«R3» 


附加 实验 : 思考 并 验证 


nee GER 该 如 何 发 布 内 


最 终 设备 配置 


[FW]display current-configuration 

# 

sysname EW 

# 

natyaddress-group 1 1.1.1.3 1.1.1.10 

nat server 0 protocol tcp global 1.1.1.100 telnet inside 10.0.4.4 telnet 
nat server 1 protocol tcp global 1.1.1.100 ftp inside 10.0.4.4 ftp 
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nat server 2 protocol tcp global 1.1.1.200 telnet inside 10.0.3.3 telnet 
# 
vlan batch 1 12 


# 

firewall session link-state check 

# 

interface Vlanif12 

ip address 10.0.20.254 255.255.255.0 4 
# 


interface Ethernet0/0/0 

ip address 1.1.1.254 255.255.255.0 

# 

interface Ethernet1/0/0 

portswitch 

port link-type access 

port access vlan 12 

# 

interface Ethernet2/0/0 

ip address 10.0.40.254 255.255.255.0 

# 

firewall zone trust 

set priority 85 

add interface Vlanif12 

# 

firewall zone untrust 

set priority 5 

add interface Ethernet0/0/0 

# 

firewall zone dmz 

set priority 50 

add interface Ethernet2/0/0 

# 

firewall interzofi& dmz untrust 

detect ftp 

# 

ip route-€tati*,0.0.0.0 0.0.0.0 1.1.1.1 

ip route-stdwjc/10.0.2.0 255.255.255.0 10.0.20.2 
ip rgftewgtatic 10.0.3.0 255.255.255,0 10.0.20.3 
ip roUMme-státic 10.0.4.0 255.255.255.0 10.0.40.4 


pelicy $nterzone trust untrust outbound 


poliey 0 


action permit 
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policy source 10.0.2.0 0.0.0.255 
policy source 10.0.3.0 0.0.0.255 
# 
policy interzone dmz untrust inbound 
policy 0 
action permit 
policy service service-set ftp 
policy service service-set telnet YV 
policy destination 10.0.4.4 0 
# 
nat-policy interzone trust untrust outbound 
policy 0 
action source-nat 
policy source 10.0.2.0 0.0.0.255 
easy-ip Ethernet0/0/0 


policy 1 
action source-nat 
policy source 10.0.3.0 0.0.0.255 
address-group 1 

# 

nat-policy zone trust 

policy 0 
action source-nat 
policy source 10.0.2.0 0.0.0.255 
policy destination 1.1.1.200 0 
address-group 1 

# 


Return 


«Rl»display current-configuration 
[V200R001C00SPC200] 

# 

sysname R1 

# 

# 

interface GigabitEthernet0/0/1 

ip agfirewg 1.1.1.1 255.255.255.0 
# 

interface LoopBack0 

ip address 10.0.1.1 255.255.255.0 
# 


Return 
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<R2>display current-configuration 
[V200R001C00SPC200] 

# 

sysname R2 

# 

interface GigabitEthernet0/0/1 

ip address 10.0.20.2 255.255.255.0 
# 

interface LoopBack0 

ip address 10.0.2.2 255.255.255.0 
# 

ip route-static 0.0.0.0 0.0.0.0 10.0.20.254 
# 


Return 


[R3]display current-configuration 
[V200R001C00SPC200] 

# 

sysname R3 

# 

interface GigabitEthernet0/0/1 

ip address 10.0.20.3 255.255.255.0 
# 

interface LoopBack0 

ip address 10.0.3.3 255.255.255.0 
# 

ip route-static 0.0.0.0 0.QA0.0W10.0.20.254 
# 

user-interface vty 0 4 
authentication-mode mone 

# 


Return 


[R4] display ,current=configuration 
[V200R001C00SPC500] 

# 

sysname R4 

ftp server enable 

# 

# 

aaa 


1ocal-user huawei password simple huawei 
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local-user huawei ftp-directory flash: 

local-user huawei service-type ftp 

# 

interface GigabitEthernet0/0/1 

ip address 10.0.40.4 255.255.255.0 

# 

interface LoopBack0 

ip address 10.0.4.4 255.255.255.0 YV 
# 
ip route-static 0.0.0.0 0.0.0.0 10.0.40.254 
# 

user-interface vty 0 4 

authentication-mode none 

# 


Return 


«Sl»display current-configuration 
# 

!Software Version V100R006C00SPC800 
sysname S1 

# 

vlan batch 11 to 13 

# 

interface GigabitEthernet0/0/1 
port link-Ltype access 

port default vlan 11 

# 

interface GigabitEthernet0/0/2 
port link-type access 

port default vlan 12 

# 

interface GigabitEthernet0/0/3 
port link-type A®cess 

port default vhan 12 

# 

interface GigabštEthernet0/0/4 
port link-type Access 

port default vlan 13 

# 

interface GigabitEthernet0/0/21 
port lšnk-type access 
portwdefault vlan 11 

# 
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interface GigabitEthernet0/0/22 
port link-type access 

port default vlan 12 

# 

interface GigabitEthernet0/0/23 
port link-type access 

port default vlan 13 

# 


Return 
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实验 1-5 USG 防火 墙 双 机 热 备份 
学 习 目 的 


。 ”掌握 防火 墙 双 机 热 备份 概念 
e ”掌握 对 防火 墙 的 VRRP 配 制 方法 
e ”掌握 防火 墙 HRP 的 配制 方法 


拓扑 图 





FVV1 10.0.50.2/24 S1 


>- m G0/0/21 







G0/0/9 
G0/0/2 





E1/0/0 G0/0/22 



















Loopback0 
10.0.4.4/24 


LoopbackO 
10.0.3.3/24 


2---------.- 
一 - 
P" ` 


_ teller 
一 


R2 ^^ S1 Sad FW1 / S1, LUN R4 


+ , 
Alan "E \ Vianif 12 Vianif14 Í Vlan 14; 
民 -一 一 一 一 — 
d `. 


LoopbackO 
10.0.4.4/24 


``, R1 


<< 11 us 


` 
= 














` 
N Vlanif 12 





Vlanif 13 


KT Get 


` PT d 
C aaa s. 





LoopbackO 
10.0.1.1/24 


图 1-5-2 USG 防 火 墙 区 域 配置 逻辑 拓扑 图 
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场景 
= 


你 是 你 们 公司 的 网 络 管理 员 ， 现 在 公司 为 了 保证 通讯 可 靠 性 ， 需 要 配置 防火 
墙 双 机 热 备 份 。 


你 针对 目前 通讯 需求 ,配置 基于 负载 分 担 的 防火 墙 双 机 热 备 份 。 正常 情况 下 >， 
Trust 区 域 访问 Untrust 区 域 时 ,不 同 路 由 发 出 的 数据 包 默认 由 各 自 的 主 用 防火 墙 
转发 ， 实 现 负载 分 担 ; 设备 故障 时 ， 数 据 包 流量 切换 到 备用 防火 墙 转发 Ek 现 热 
备份 。 


学 习 任务 


步骤 一 . 基本 配置 与 IP 编 址 


给 所 有 路 由 器 配置 1P 地 址 和 掩 码 。 配 置 时 注意 所 有 的 Loopback 接 口 配 置 掩 
码 均 为 24 位 。 


<Huawei>system-view 

Enter system view, return user view with CumLTZ. 
Huawei]sysname R1 

Rl]interface GigabitFthernet 0/0/2 


[ 
[ 
[R1-GigabitEthernet0/0/2]ip address 10.0.10.1 24 
[R1-GigabitEthernet0/0/2]interface loopback 0 

[ 


Rl-LoopBack0]ip address 10.0.1.® 24 


<Huawei>system-view 

Enter system view, return user. view with Ctrl+Z. 
Huawei]sysname R2 

R2]interface GigabitEÉthernet0/0/1 


[ 
[ 
[R2-GigabitEthernet0/0/1]$p address 10.0.20.1 24 
[R2-GigabitEthernet0/0/T]interface loopback 0 

[ 


R2-LoopBack0]ip address 10.0.2.2 24 
<Huawei>system-view 

Enter system view, return user view with Ctrl+Z. 
Huaweig.sysnamey R3 


R3]imterfaee GigabitEthernet 0/0/2 


[ 
[ 
[R3-GigabitÉthernet0/0/1]ip address 10.0.30.1 24 
[R3-GigabitEthernet0/0/1]interface loopback 0 

[ 


R3-LoopBack0]ip address 10.0.3.3 24 





^ 


HWawei>system-view 
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Enter system view, return user view with Ctrl+Z. 
[Huawei]sysname R4 

[R4] interface GigabitEthernet 0/0/1 
[R4-GigabitEthernet0/0/1]ip address 10.0.40.1 24 
[R4-GigabitEthernet0/0/1]interface loopback 0 
[R4-LoopBack0O]ip address 10.0.4.4 24 


在 两 个 防火 墙 上 配置 VLAN11、12、13 和 14 , 并 配置 相应 的 三 层 接 铭 地址 。 
给 防火 墙 配 置地 址 时 ， 需 要 注意 Ethernet1/0/0 接 口 为 二 层 交 换 机 接 思 无 法 配 
置 IP 地 址 。 另外 由 于 默认 防火 墙 会 给 它 的 Vlani 人 配置 地 址 ,实验 中 为 避免 干扰 ， 
删除 该 配置 。 


<FWl>system-view 

FWl]vlan batch 11 to 14 
FWl]interface vlanif 11 
FWl-Vlanifll]ip address 10.0.10.2 24 
FW1-Vlanif interface vlanif 12 
FW1-Vlanif ip address 10.0.20.2 24 
FW1-Vlanif interface Vlanif 13 


FW1-Vlanif interface Vlanif 14 





1 
2 
2 
FWl-Vlanifl3]ip address 10.0.30.2 24 
3 
4 


FW1-Vlanif ip address 10.0.40.2 24 











FWl-Vlanifl4]interface Ethernet0/0/0 
FWl-Ethernet0/0/0]ip address 10.0.50% 24 
FWl1-Ethernet0/0/0]quit 


FWl]interface vlanif 1 








FW1-Vlanifl]undo ip address 


<FW2>system-view 

FW2]vlan batch 11 to 14 
FW2]interface vlanif 11 
FW2-Vlanifll]ip add*éss T0.0.10.3 24 
interface vlanif 12 


ip addxess 10.0.20.3 24 


FW2-Vlanif 
FW2-Vlanif 
FW2-Vlanif interface Vlanif 13 


FW2-Vlanif interface Vlanif 14 





1 
2 
2 
FW2-Vlanif$13]üp address 10.0.30.3 24 
3 
4 


FW2-VYanif ip address 10.0.40.3 24 











FW2-Vlanifk4]interface Ethernet0/0/0 
FW2-Ethernet0/0/0]ip address 10.0.50.3 24 
FW2-Ethernet0/0/0]quit 


FW2]interface vlanif 1 








FW2-Vlanifl]undo ip address 
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交换 机 上 需要 按照 需求 定义 VLAN。 


<Sl>system-view 
]vlan batch 11 to 14 
]interface GigabitEthernet 0/0/2 


-GigabitEthernet0/0/2]port link-type access 


-GigabitEthernet0/0/2]interface gigabitEthernet 0/0/4 
-GigabitEthernet0/0/4]port link-type access X 





S 
S 
S 
S1-GigabitEthernet0/0/2]port default vlan 12 
S 
S 
S 





-GigabitEthernet0/0/4]port default vlan 14 


<S2>system-view 

S2]vlan batch 11 to 14 

S2]interface GigabitEthernet 0/0/1 
S2-GigabitEthernet0/0/1]port link-type access 
S2-GigabitEthernet0/0/1]port default vlan 11 
S2-GigabitEthernet0/0/1]interface gigabitEthernet 0/0/3 


S2-GigabitEthernet0/0/3]port link-type access 





S2-GigabitEthernet0/0/3]port default vlan 13 


将 5S1 的 接口 G0/0/9 与 52 的 接口 G0/0/9 改 为 Nunk 类 型 ,允许 VLAN11、12、 
13 和 14 通 过 。 


S1]interface GigabitEthernet 0/0/9 
S1-GigabitEthernet0/0/9]port link%type trunk 
S1-GigabitEthernet0/0/9]port trunk allow-pass vlan 11 to 14 
S1-GigabitEthernet0/0/9]quit 


S2]interface GigabitEthernet 0/0/9 
S2-GigabitEthernet0/0/9%port I$nk-type trunk 
S2-GigabitEthernet0/0/9]port trunk allow-pass vlan 11 to 14 








S2-GigabitEthernet0/079]eüit 


把 S1 的 接口 G0XY0/21、G0/0/10 和 S52 的 接口 G0/0/10、G0/0/11 划 到 一 个 
VLAN 中 ， 定 义 属 于 VEAN10。 该 链 路 为 防火 墙 心 跳 线 发 送 数据 。 

我 们 为 VLAN10 启 用 MSTP 协 议 ， 防 止 MSTP 协 议 的 默认 进程 0 关闭 S1 与 S2 
的 G0/0/10 接 口 。 

需要 注意 的 是 ， 两 台 交 换 机 上 配置 的 Region-name 必 须 一 致 ， 我 们 设置 
Regionsname 为 FW。 
[S1]vlan 10 
[S17vlan10]quit 


iS1]interface GigabitEthernet 0/0/21 
[SY-GigabitEthernet0/0/21]port link-type access 
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-GigabitEthernet0/0/21]port default vlan 10 
-GigabitEthernet0/0/21]interface GigabitEthernet 0/0/10 
-GigabitEthernet0/0/10]port link-type access 
-GigabitEthernet0/0/10]port default vlan 10 
-GigabitEthernet0/0/10]quit 

]stp region-configuration 


-mst-region]region-name FW 





-mst-region]instance 1 vlan 10 4 


nnn Io Dm Io Dm Do un 


-mst-region]active region-configuration 


S2]vlan 10 

S2-vlanl0]quit 

S2]interface GigabitEthernet 0/0/11 

S2-GigabitEthernet0/0/11]port link-type access 

S2-GigabitEthernet0/0/11]port default vlan 10 

S2-GigabitEthernet0/0/11]interface GigabitEthernet 0/0/10 

S2-GigabitEthernet0/0/10]port link-type access 
0 


S2-GigabitEthernet0/0/ port default vlan 10 














S2-GigabitEthernet0/0/10]quit 
S2]stp region-configuration 
$2-mst-region]region-name FW 


S2-mst-region]instance 1 vlan 10 





$2-mst-region]active region-configuxation 


将 FW1 的 接口 E1/0/0 与 S51 的 接口 G0/0/22 改 为 Trunk 类 型 ， 人 允许 通 过 
VLAN11、12、13 和 14。 将 FW2 的 接口 E1/0/0 与 52 的 接口 G0/0/12 改 为 Trunk 
类 型 ， 人 允许 通过 VLAN11、12.213 和 14。 


FWl]interface Ethernet1/0/0 
FWl]port link-type trunK 
FWl]port trunk permit sany 11 to 14 


Sl]interface GigabitEthernet 0/0/22 


Sl]port link-type txunk 





Sl]port trunk altow-bass vlan 11 to 14 


FW2]interface Ethernet1/0/0 
FW2]pomt link-type trunk 
FW2]port t*unk permit vlan 11 to 14 


S2]interface GigabitEthernet 0/0/12 


S234port link-type trunk 





[S2]port trunk allow-pass vlan 11 to 14 
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步骤 二 .将 接口 划分 到 安全 区 域 


防火 墙 上 默认 有 四 个 区 域 ， 分 别 是 “Local ", " Trust “. " Untrust ", " 
DMZ “。 


实验 中 我 们 使 用 到 默认 的 “Trust“ 和 ”Untrust“ 两 个 区 域 ， 将 vlanif12、 
vlanif13 划 分 到 trust 区 域 ,将 vlanif11、vlanif14 划 分 到 Untrust 区 域 。 在 两 个 防 
火 墙 上 分 别 自 定义 一 个 abc 区 域 设置 优先 级 为 80 将 心跳 线 接口 Ethern&t0/0/0 
划分 进 该 区 域 。 
FWl]firewall zone trust 
FWl-zone-trust]add interface vlanif 12 
FWl-zone-trust]add interface vlanif 13 
FWl-zone-trust]firewall zone untrust 
FWl-zone-untrust]add interface vlanif 11 
FWl-zone-untrust]add interface vlanif 14 
FWl-zone-untrust]firewall zone name abc 
FWl1-zone-abc]set priority 80 
FWl-zone-abc]add interface Ethernet 0/0/0 


FW1-zone-abc] quit 





FWl]firewall packet-filter default permit) all 


FW2]firewall zone trust 
FW2-zone-trust]add interface vlaníf 12 
FW2-zone-trust]add interface vlanif 13 
FW2-zone-trust]firewall zone untfust 
FW2-zone-untrust]add interface vlanif 11 
FW2-zone-untrust]add interface vlanif 14 
FW2-zone-untrust] firewahly zonéQname abc 
FW2-zone-abc]set priority 80 
FW2-zone-abc]add interfaeé Ethernet 0/0/0 


FW2-zone-abc] quit 








FW2]firewall paCket-filter default permit all 


[—1 > ` NA ç 
完成 配置 后 测试 连通 性 。 
[FW1]ping 10.0.20.1 
09:47:J&, 2011/12/27 
PING.10.0820.1: 56 data bytes, press CTRL C to break 
Reply^£rom 10.0.20.1: bytes-56 Sequence-1 ttl-255 time-1 ms 


Reply from 10.0.20. bytes-56 Sequence-2 ttl1-255 time-1 ms 
bytes-56 Sequence-3 ttl1-255 time-1 ms 
.20. 


<20 


Reply from 10. bytes=56 Sequence=4 ttl=255 time=1 ms 





0 

0 
Reply from 10.0.20. 

0 

0 


e re PR 


Reply from 10. bytes=56 Sequence=5 ttl=255 time=1 ms 
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=== 10.0.20.1 ping statistics === 


5 packet (s) 
5 packet (s) 


transmitted 


received 


0.00% packet loss 


round-trip min/avg/max 


[FW1]ping 10.0.30.1 


09:47:35 
PING 10. 
Reply 
Reply 
Reply 
Reply 





Reply 


2011/12/27 


0.30 
from 
from 
from 
from 


from 


ak3 
10.0 
10.0 

.0. 
0 
0 


10 


10. 
10. 


= 1/1/1 ms 


56 data bytes, press CTRL C to break 


.30.1: 
.30. 
30. 
.30 
«30. 


qs 


B 
zis 
1 


bytes=56 
bytes=56 
bytes=56 
bytes=56 
bytes=56 


Sequence-1 ttl-255 
Sequence-2 ttl-255 
Sequence-3 ttl-255 
Sequence-4 ttl-255 
Sequence-5 ttl-255 


=== 19.0,30.1 ping statistios === 


5 packet(s) 
5 packet(s) 


transmitted 


received 


0.00$ packet loss 


round-trip min/avg/max - 1/1/1 


[FW1]ping 10.0.40.1 


09:48:01 
PING 10. 
Reply 
Reply 
Reply 
Reply 





Reply 


2011/12/27 
56 data bytes, press CTRL C to break 


0.40. 


from 
from 
from 
from 


from 


ass 
10.0 
10.0 
.0 
0 
0 


10 


10. 
10. 


.40.1: 
.40.1: 
.40.1: 
.40.1: 
-40 a1 


bytes=56 
bytes=56 
bytes=56 
bytes=56 
bytes-56 


ms 


Sequence-1 ttl-255 
Sequence-2 ttl-255 
Sequence-3 ttl-255 
Sequence-4 ttl-255 
Sequence-5 ttl-255 


=== 10.0.40.1 ping S"Wetistics =-= 


5 packet(s) 
5 packet(s) 


transmitted 


received 


0.00$ pagket lošs 


round-trip min/avg/max = 1/38/190 ms 


[FW1]ping*10.0.10.1 


09:48:34, 2011/12/27 


PXNG 10.0.10 


Reply 
Reply 





Reply 


HC Series 


from 
from 


from 


sis 
10.0.10.1: 
10.0.10.1: 
10.0.10.1: 


time-1 ms 
time-1 mS 
time=1,ms 
time=1 ms 


timet ms 


time=1 ms 
time=1 ms 
time=190 ms 
time=1 ms 


time-1 ms 


56 data bytes, press CTRL C to break 


bytes-56 Sequence-1 ttl1-255 time-1 ms 


bytes-56 Sequence-2 ttl1-255 time-1 ms 


bytes-56 Sequence-3 ttl1-255 time-1 ms 
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Reply from 10.0.10.1: 
Reply from 10.0.10.1: 











bytes-56 Sequence=4 ttl=255 time-1 ms 


bytes=56 Sequence=5 ttl=255 time=1 ms 


=== 10.0. 10.1 ping statistics === 


5 packet (s) 
5 packet (s) 


transmitted 


received 


0.00% packet loss 


round-trip min/avg/max 


[FW2]ping 10.0.10.1 
03:51:04 2011/12/27 


- 1/1/1 ms 


PING 10.0.10.1: 56 data bytes, press CTRL C to break 
Reply from 10.0.10.1: bytes-56 Sequence-1 ttl-255 time=1 
Reply from 10.0.10.1: bytes-56 Sequence-2 ttl-255 time-1 
Reply from 10.0.10.1: bytes-56 Sequence-3 ttl-255 timet 
Reply from 10.0.10.1: bytes-56 Sequence-4 ttl-255 time=1 
Reply from 10.0.10.1: bytes-56 Sequence-5 ttl1-255 time-1 

=== 10.0.10.1 ping statistics === 
5 packet(s) transmitted 
5 packet(s) received 
0.00% packet loss 
round-trip min/avg/max = 1/1/1 ms 

[FW2]ping 10.0.20.1 
03:51:23 2011/12/27 

PING 10.0.20.1: 56 data bytes, préss CTRL C to break 
Reply from 10.0.20.1: bytes=56 Sequence=1 ttl=255 time=1 
Reply from 10.0.20.1:@bytes=86 Sequence-2 ttl=255 time=1 
Reply from 10.0.20.1¢ bytes-56 Sequence-3 ttl-255 time=1 
Reply from 10.0.20 bytes-56 Sequence-4 ttl-255 time=1 
Reply from 10.0.2074: bytes-56 Sequence-5 ttl-255 time-1 


=== 10.0.20.1wging SEatistics =-= 


5 packet(s) 
5 packet(s) 


transmitted 


received 


0.00% packet Joss 


round-trip min/avg/max = 1/1/1 


[BQ2]ping 10.0.30.1 


03:51:49 2011/12/27 
PING/10.0.30.1: 56 data bytes, press CTRL C to break 


Reply from 10.0.30.1: 
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ms 


bytes=56 Sequence=1 ttl=255 time=1 ms 
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Reply from 10.0.30. bytes=56 Sequence=2 ttl=255 time=1 ms 
Reply from 10.0.30. bytes-56 Sequence=3 ttl=255 time-1 ms 


Reply from 10.0.30. bytes=56 Sequence=4 ttl=255 time=1 ms 


PoP to m 


Reply from 10.0.30. bytes=56 Sequence=5 ttl=255 time=1 ms 

=== 10.0.30.1 ping statistics === 
5 packet(s) transmitted 
5 packet(s) received X 
0.00% packet loss 


round-trip min/avg/max = 1/1/1 ms 


[FW2]ping 10.0.40.1 
03:52:15 2011/12/27 
PING 10.0.40.1: 56 data bytes, press CTRL_C to break 
Reply from 10.0.40.1: bytes-56 Sequence-1 ttl-255 imel ms 
Reply from 10.0.40. bytes-56 Sequence-2 tt1-253 time=1 ms 
Reply from 10.0.40. bytes-56 Sequence=3 ttl=255 ®ime=10 ms 


Reply from 10.0.40. bytes-56 Sequence=4 ttl=25S time-1 ms 


PP o to 


Reply from 10.0.40. bytes-56 Sequence=5 tthe255 time-10 ms 
=== 10,.0,40.1 ping statistics === 

5 packet(s) transmitted 

5 packet(s) received 

0.00% packet loss 


round-trip min/avg/max = 1/4/10 ms 


步骤 三 。 配置 防火 墙 VRRP 备份 组 


在 FWI 上 配置 各 VRRR 备 份 组 ， 并 配置 备份 组 的 虚拟 IP 地 址 。 


FWl]interface vlanif 12 

FWl-Vlanifl2]vrrp*vrid 12 virtual-ip 10.0.20.254 master 
FW1-Vlanif iméerfage vlanif 13 
FWl-VlaniffS]vrrp Vrid 13 virtual-ip 10.0.30.254 slave 
FW1-Vlanif vrrp vrid 14 virtual-ip 10.0.40.254 master 


FW1-Vlanit interface vlanif 11 


























2 

3, 
FWl-Vlani£l3]interface vlanif 14 

4 

4 

1 





FW1-Vlaànif 








vrrp vrid virtual-ip 10.0.10.254 slave 


在 PBW2 上 配置 各 VRRP 备 份 组 ,并 配置 备份 组 的 虚拟 IP 地 址 。 
FW2 和 和 上述 FW1 的 配置 基本 相同 ， 不 同 之 处 在 于 FW2 上 配置 VRRP 备 份 组 时 , 
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与 FW1 的 Master 管 理 组 对 应 的 必须 配置 为 Slave 管 理 组 ， 与 FW1 的 Slave 管 理 组 
对 应 的 必须 配置 为 Master 管 理 组 。 


FW2]interface vlanif 12 

FW2-Vlanifl2]vrrp vrid 12 virtual-ip 10.0.20.254 slave 
FW2-Vlanif interface vlanif 13 
FW2-Vlanif vrrp vrid 13 virtual-ip 10.0.30.254 master 
FW2-Vlanif vrrp vrid 14 virtual-ip 10.0.40.254 slave X 


FW2-Vlanif interface vlanif 11 














2 

3 
FW2-Vlanifl3]interface vlanif 14 

4 

4 

1 




















FW2-Vlanif vrrp vrid virtual-ip 10.0.10.254 master 


查看 备份 组 配置 情况 ， 检 查 VRRP Groupe f sip S S. 


[FW1]display vrrp 
20:56:41 2011/12/28 
Vlanifl3 | Virtual Router 13 

VRRP Group : Slave 
state : Backup 
Virtual IP ; 10.0.30.254 
Virtual MAC : 0000-5e00-010d 
Primary IE : 10.0.30.2 
PriorityRun : 100 
PriorityConfig +: 100 
MasterPriority : 100 
Preempt : YES Delay Time : @ 
Advertisement Timer : 1 
Auth Type : NONE 
Check TTL : YES 


Vlanifll | Virtual Reyter M 
VRRP Group : Slaye 
state : Backup 
Virtual IP :/19.0.10.254 
Virtual MAC “a 000075e00-010Db 
Primary Ap : 10.w.10.2 
PriorityRun W100 
PriorityCOnfyYg : 100 
Mafterfwriority : 100 
Preempt Z YES Delay Time : 0 
Advertisement Timer : 1 
Auth» Type : NONE 
Check TTL : YES 
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Vlanifl4 | Virtual Router 14 
VRRP Group : Master 
state : Backup 
Virtual IP : 10.0.40.254 
Virtual MAC : 0000-5e00-010e 
Primary IP ; 10.0.40.2 
PriorityRun : 100 
PriorityConfig : 100 YV 
MasterPriority : 100 
Preempt : YES Delay Time : 0 
Advertisement Timer : 1 
Auth Type : NONE 
Check TTL : YES 


Vlanif12 | Virtual Router 12 
VRRP Group : Master 
state : Backup 
Virtual IP : 10.0.20.254 
Virtual MAC : 0000-5e00-010c 
Primary IP : 10.0.20.2 
PriorityBun : 100 
PriorityConfig : 100 
MasterPriority : 100 
Preempt : YES Delay Time : 0 
Advertisement Timer : 1 
Auth Type : NONE 
Check TTL : YES 


[FW2]display vrrp 
14:32:32 2011/12/28 
Vlanifll | Virtual, Deelt 

VRRP Group : Masteh 
state : Master 
Virtual IP ?*«10.0.$0.254 
Virtual MAC : 0000-5e00-010b 
Primary IP *^10.0.10.3 
PriorityRUm ; 100 
Pr¥orityConfig : 100 
MasterPrvority : 120 
Rreempt : YES Delay Time : 0 
Advértisement Timer : 1 
Auth Type : NONE 
Check TTL : YES 
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Vlanifl4 | Virtual Router 14 
VRRP Group : Slave 
state : Master 
Virtual IP : 10.0.40.254 
Virtual MAC : 0000-5e00-010e 
Primary IP : 10.0.40.3 
PriorityRun : 100 NW 
PriorityConfig : 100 
MasterPriority : 120 
Preempt : YES Delay Time : 0 
Advertisement Timer : 1 
Auth Type : NONE 
Check TTL : YES 


Vlanif13 | Virtual Router 13 
VRRP Group : Master 
state : Master 
Virtual IP : 10.0.30.254 
Virtual MAC : 0000-5e00-010d 
Primary IP 3 10.0,30,3 
PriorityRun : 100 
PriorityConfig : 100 
MasterPriority : 120 
Preempt : YES Delay Time : Q 
Advertisement Timer : 1 
Auth Type : NONE 
Check TTL : YES 


Vlanif12 | Virtual Router 12 
VRRP Group : Slave 
state : Master 
Virtual IP : /10,0.20.254 
Virtual MAC « 000055e00-010c 
Primary AP : 10 w.20.3 
PriorityRun * 100 
PriorityCénfig : 100 
MastePRriority : 120 
Preempt Z YES Delay Time : 0 
Advertisement Timer : 1 
Auth» Type : NONE 
Check TTL : YES 
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步骤 四 . 配置 HRP 备份 通道 


分 别 在 FW1 和 FW2 上 配置 备份 通道 接口 ， 并 启用 HRP。 注 意 ， 防 火 墙 工作 于 
双 机 热 备 份 组 网 环境 下 ,如 果 报 文 的 来 回路 径 不 一 臻 ,可 以 利用 命令 hrp mirror 
session enable 配 置 会 话 快速 备份 功能 ， 保 证 主 用 防火 墙 的 会 话 信息 立即 同步 
至 备用 防火 墙 。 


当主 用 防火 墙 出 现 故 障 时 ， 后 续 报 文 能 够 被 备用 防火 墙 转发 出 去 “从 而 保证 
内 外 部 用 户 的 会 话 不 中 断 。 


FWl]hrp interface Ethernet0/0/0 
FWl]hrp mirror session enable 


FWl]hrp enable 


FW2]hrp interface Ethernet0/0/0 


FW2]hrp mirror session enable 











FW2]hrp enable 


注意 在 此 步骤 后 ， 设 备 配置 的 提示 符 名 称 会 根据 设备 的 HRP 状 态 ， 增 加 
HRP_M 或 HRP_s。 


成 功 配置 备份 通道 之 后 ， 主 备 防火 墙 之 间 根 据 配置 协商 masteVbackup 状 
人 态 ， 检 查 此 刻 防火 墙 VRRP 状 态 。 


HRP M[FW1]display vrrp 
21:32:17 2011/12/28 
Vlanif13 | Virtual Router 13 
VRRP Group : Slave 
state : Backup 


Virtual IP : 10.0.30.254 





Virtual MAC : 0000-5e003010d 
Primary IP : 10.00.72 
PriorityRun :,120 
PriorityCongig : 00 
MasterPriority™; Y20 
Preempt/: “KES Delay Time : 0 
Advertisement/Timer : 1 
AuthR*Type : NONE 

Check TTE: YES 


Vlanifll | Virtual Router 11 
VRRP Group : Slave 
state : Backup 
Virtual IP : 10.0.10.254 
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Virtual MAC : 0000-5e00-010b 
Primary IP : 10.0.10.2 
PriorityRun : 120 
PriorityConfig : 100 
MasterPriority : 120 

Preempt : YES Delay Time : 0 
Advertisement Timer : 1 


Auth Type : NONE 4 
Check TTL : YES 


Vlanifl4 | Virtual Router 14 
VRRP Group : Master 
state : Master 
Virtual IP : 10.0.40.254 
Virtual MAC : 0000-5e00-010e 
Primary IP : 10.0.40.2 
PriorityRun : 120 
PriorityConfig : 100 
MasterPriority : 120 
Preempt : YES Delay Time : 0 
Advertisement Timer : 1 
Auth Type : NONE 
Check TTL : YES 


Vlanif12 | Virtual Router 12 
VRRP Group : Master 
state : Master 
Virtual IP : 10.0.20.254 
Virtual MAC : 0000-5e00-010c 
Primary IP : 10.0.2052 
PriorityRun : 120 
PriorityConfig : T%® 
MasterPriorigy*; 120 
Preempt : YES Delay Time : 0 
Advertisement Timer : 1 
Auth Type : NONE 
Check TTL wx YES 


HRP S[FW2]diSplay vrrp 
157908:31 2011/12/28 
Vlanifd11 | Virtual Router 11 
VRRP Group : Master 


state : Master 
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Virtual IP : 10.0.10.254 

Virtual MAC : 0000-5e00-010b 

Primary IP 3 10.0.10,3 

PriorityRun : 120 

PriorityConfig : 100 

MasterPriority : 120 

Preempt : YES Delay Time : 0 

Advertisement Timer : 1 4 
Auth Type : NONE 

Check TTL : YES 


Vlanifl4 | Virtual Router 14 
VRRP Group : Slave 
state : Backup 
Virtual IP : 10.0.40.254 
Virtual MAC : 0000-5e00-010e 
Primary IP : 10.0.40.3 
PriorityRun : 120 
PriorityConfig + 100 
MasterPriority : 120 
Preempt : YES Delay Time : 0 
Advertisement Timer : 1 
Auth Type : NONE 
Check TTL : YES 


Vlanif13 | Virtual Router 13 
VRRP Group : Master 
state : Master 
Virtual IP : 10.0.30.@54 
Virtual MAC : 000035¢00-070d 
Primary IP : 10.0.8953 
PriorityRun : 120 
PriorityConfyOów; 100 
MasterPriority : 120 
Preempt A YES “lay Time : 0 
Advertisement, Timer : 1 
Auth Type ™, NONE 
Chgck WTL : YES 


W*anif12 | Virtual Router 12 
VRRP» Group : Slave 
State : Backup 
Virtual IP : 10.0.20.254 
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Virtual MAC : 0000-5e00-010c 
Primary IP ; 10.0.20.3 
PriorityRun : 120 
PriorityConfig : 100 
MasterPriority : 120 

Preempt : YES Delay Time : 0 
Advertisement Timer : 1 


Auth Type : NONE X 
Check TTL : YES 


ZUR. 配置 区 域 间 包 过 滤 策略 


当 FW1 和 FW2 都 启动 HRP 功 能 完成 后 ,在 FW1l1 上 开启 配置 命令 的 自动 备份 ， 
这 样 在 FWI 上 配置 的 域 间 包 过 滤 规 则 都 将 自动 备份 到 FAW2s 


HRP M[FWl]hrp auto-sync config 


默认 配置 下 安全 区 域 之 间 是 互通 的 ， 现 配置 区 域 间 包 过 滤 策 略 ， 关闭 各 区域 
间 的 互通 。 仅 允许 Trust 区 域 访问 Untrust 区 域 半 不 允许 其 他 区 域 之 间 的 访问 。 


HRP M[FW1]firewall packet-filter default/deny^all 
HRP_M[FW1] firewall packet-filter  defaulte^permit  interzone trust untrust 


direction outbound 


353275. HRP_M[FW1]firewall session link-state check 配置 
静态 路 由 ， 实 现 网 络 连通 性 


在 R1、R2、R3 和 R4 半 配置 默认 网 关 ,在 FW1 与 FW2 上 配置 明确 的 静态 路 由 , 
实现 网 络 的 连通 性 。 


Rl]ip route-stafec 0.0.0.0 0 10.0.10.254 
R2]ip route-statiCs%w0.0.0.0 0 10.0.20.254 


R3]ip route™atatic 0.0.0.0 0 10.0.30.254 











RAJip"xoute-static 0.0.0.0 0 10.0.40.254 


ARP M[FWl]ip route-static 10.0.1.0 24 10.0.10.1 


D 


RP MjFW1]ip route-static 10.0.2.0 24 10.0.20.1 





r 


RP M[FW1]ip route-static 10.0.3.0 24 10.0.30.1 
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HRP M[FW1]ip route-static 10.0.4.0 24 10.0.40. 


.10. 
.20. 
.30. 
.40. 


HRP S[FW2]ip route-static 
HRP S[FW2]ip route-static 


HRP S[FW2]ip route-static 





























eO c © Ge 
eo C c GC 
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CO OO 0 GC 
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HRP_S[FW2]ip route-static 


配置 完成 后 ， 测试 Trust 区 域 与 Untrust 区 域 通讯 状况 。 K 


[R2] ping =a 10.0.2.2 10.0.1.1 

PING 10.0.1.1: 56 data bytes, press CTRL C to break 
Reply from 10.0.1.1: bytes-56 Sequence-1 ttl=254 time-3 ms 
Reply from 10. bytes-56 Sequence-2 ttl1-254 time=3 ms 
Reply from 10. bytes-56 Sequence-3 ttl1-254 time-3 ms 


Reply from 10. bytes-56 Sequence-4 ttl1-254 timé=5 ms 





Oc c © 
PoP o P om 
PoP P m 


Reply from 10. bytes=56 Sequence=5 ttl=254 time=3 ms 
=== 0.0.1.1 ping Statistics === 

5 packet(s) transmitted 

5 packet(s) received 

0.00% packet loss 


round-trip min/avg/max = 3/3/5 ms 





[R2]ping -a 10.0.2.2 10.0.4.4 
PING 10.0.4.4: 56 data bytes, press CTRL C to break 
Reply from 10.0.4.4: bytes=56\Sequence=1 ttl=254 time-4 ms 
Reply from 10.0.4.4: bytes-56 S@quence=2 ttl=254 time-4 ms 
Reply from 10.0.4.4: bytes=56 4#Sequence=3 ttl1-254 time-4 ms 
Reply from 10.0.4.4: bytes=56 Sequence-4 ttl1-254 time-5 ms 
Reply from 10.0.4.4: bytes=56 Sequence-5 ttl=254 time-3 ms 


--- 10.0.4.4 ping Wati9tics --- 
5 packet(s) transmitted 
5 packet (s) frec@&yed 
0.00% packet less 


round-tripwmin/avg/max = 3/4/5 ms 


[R3]pin&, -a 10.0.3.3 10.0.4.4 

PING, 10.054.4: 56 data bytes, press CTRL C to break 
Reply^£rom 10.0.4.4: bytes-56 Sequence-1 ttl-254 time-5 ms 
Reply from 10. bytes-56 Sequence-2 ttl1-254 time-5 ms 
Reply from 10. 


Reply from 10. bytes-56 Sequence-4 ttl1-254 time-4 ms 





ec oO cO CO 
心 A A SF LS 


4 
.4: bytes-56 Sequence-3 ttl-254 time-4 ms 
4 
4 


Reply from 10. bytes-56 Sequence-5 ttl-254 time-6 ms 
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--- 10.0.4.4 ping statistics --- 
5 packet(s) transmitted 
5 packet(s) received 
0.00% packet loss 


round-trip min/avg/max = 4/4/6 ms 


X 
BURG. 双 机 热 备份 测试 


R2 与 R4 的 数据 包 默认 是 通过 防火 墙 FW1 转 发 ,并且 防火 墙 FW2 作 为 备份 。 
设置 场景 ， 在 R2 于 R4 通 讯 过 程 中 ，FW1 上 Vlanif12 接 口 发 生 故 障 。 通 讯 依 


我 们 从 R2 上 发 送 20 个 数据 包 给 R4。 在 发 送 过 程 中 将 防火 墙 上 的 Vlanif 12 接 
口 关闭 以 模拟 接口 故障 ， 并 查看 通讯 状态 。 


注意 , 在 执行 ping 命 令 过 程 中 , 须 尽 快 将 FWL1 卡 Vlanif12 接 口 关 闭 ,要 在 数 
据 包 发 送 结束 之 前 关闭 该 接口 。 


[R2]ping -c 20 -a 10.0.2.2 10.0.4.4 


HRP S[FW1]interface vlanif 12 
HRP S[FW1-Vlanif12] shutdown 


我 们 可 以 看 见 ， 通 讯 依然 正常 各 即使 FW1 上 的 Vlanif12 接 口 故障 ,仍然 没有 
数据 包 的 丢失 。 














[R2]ping -c 20 -a 10.0.2.2 TAQA. A 
PING 10.0.4.4: 56 data ytes, press CTRL C to break 
Reply from 10.0.4.4$:.bytes-56 Sequence-1 ttl=254 time=3 ms 
Reply from 10.0544: Bytes=56 Sequence-2 ttl=254 time-4 ms 
Reply from 10.0.4.4:%bytes=56 Sequence=3 ttl=254 time=3 ms 
Reply from 10.074.4: bytes-56 Sequence-4 ttl=254 time=4 ms 
Reply from 1020.4.4: bytes-56 Sequence-5 ttl=254 time-4 ms 
Reply frOom.10.0.4.4: bytes-56 Sequence-6 ttl=254 time-4 ms 
Reply from 1090.4.4: bytes-56 Sequence-7 ttl1-254 time-4 ms 
Reply from $0.0.4.4: bytes-56 Sequence-8 tt1-254 time=3 ms 
Reply from 10.0.4.4: bytes-56 Sequence-9 ttl=254 time=3 ms 
Replysfrom 10.0.4.4: bytes-56 Sequence-10 ttl1-254 time-5 ms 
Reply from 10.0.4.4: bytes-56 Sequence-11 ttl1-254 time-3 ms 
Reply from 10.0.4.4: bytes-56 Sequence-12 ttl-254 time=4 ms 
Reply from 10.0.4.4: bytes-56 Sequence-13 ttl1-254 time=4 ms 
Reply from 10.0.4.4: bytes-56 Sequence-14 ttl1-254 time-3 ms 
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Reply from 10.0.4.4: bytes=56 Sequence=15 ttl=254 time=4 ms 
Reply from 10.0.4.4: bytes=56 Sequence=16 ttl=254 time=4 ms 
Reply from 10.0.4.4: bytes=56 Sequence=17 ttl=254 time=3 ms 
Reply from 10.0.4.4: bytes=56 Sequence=18 ttl=254 time=4 ms 
Reply from 10.0.4.4: bytes=56 Sequence=19 ttl=254 time=3 ms 
Reply from 10.0.4.4: bytes=56 Sequence=20 ttl=254 time=3 ms 
--- 10.0.4.4 ping statistics --- NW 


20 packet(s) transmitted 
20 packet(s) received 
0.00% packet loss 


round-trip min/avg/max = 3/3/5 ms 


此 时 查看 防火 墙 FW2 的 VRRP 状 态 ， 发 现 FW2 上 接口 Vilanif12 与 Vlanif14 已 
经 同时 转换 为 Master 状 态 。 即 FW1 上 接口 Vilanif12 出 现 故 障 时 ，FW2 上 的 备份 
接口 立即 从 Backup 状 态 转换 成 Master 状 态 ， 引 导数 据 包 转发 。 


HRP M[FW2]display vrrp 
03:14:23 2011/12/29 
Vlanifll | Virtual Router 11 

VRRP Group : Master 
state : Master 
Virtual IP : 10.0.10.254 
Virtual MAC : 0000-5e00-010b 
Primary IP : 10.0.10.3 
PriorityRun : 120 
PriorityConfig : 100 
MasterPriority : 120 
Preempt : YES Delay Time %0 
Advertisement Timer : T 
Auth Type : NONE 
Check TTL : YES 


Vlanifl4 | Vi£tual*Router 14 
VRRP Group : Shave 
state : Master 
Virtual XP : 10.0.40.254 
Virf£ual MAC": 0000-5e00-010e 
Pfümary XP : 10.0.40.3 
PriorTeyRun : 120 
PP&orityConfig : 100 
MasterPriority : 120 
Preempt : YES Delay Time : 0 


Advertisement Timer : 1 


HC Series HUAWEI TECHNOLOGIES 87 





HCDP-IENP 第 一 章 防火 墙 特性 功能 


Auth Type : NONE 
Check TTL : YES 


Vlanifl3 | Virtual Router 13 
VRRP Group : Master 
state : Master 
Virtual IP : 10.0.30.254 
Virtual MAC : 0000-5e00-010d YV 
Primary IE : 10.0.30.3 
PriorityRun : 120 
PriorityConfig : 100 
MasterPriority : 120 
Preempt : YES Delay Time : 0 
Advertisement Timer : 1 
Auth Type : NONE 
Check TTL : YES 


Vlanif12 | Virtual Router 12 
VRRP Group : Slave 
state : Master 
Virtual IP : 10.0.20.254 
Virtual MAC : 0000-5e00-010c 
Primary IP : 10.0.20.3 
PriorityRun : 120 
PriorityConfig : 100 
MasterPriority : 120 
Preempt : YES Delay Time #0 
Advertisement Timer : 1 
Auth Type : NONE 
Check TTL : YES 


附加 实验 : 思考 并 验证 


当心 跳 线 出 现 故 障 时 ， 防 火 墙 FW1 与 FW2 的 状态 会 是 怎样 的 ?Trust 与 
Untrust 区 域 之 间 通 讯 的 数据 包 是 如 何 转 发 的 ? 


最 终 设备 配置 


<R1>display current-configuration 
[V200R001C00SPC200] 
# 


88 HUAWEI TECHNOLOGIES HC Series 


HCDP-IENP 第 一 章 防火 墙 特性 功能 


sysname R1 

# 

interface GigabitEthernet0/0/2 

ip address 10.0.10.1 255.255.255.0 
# 

interface LoopBack0 


ip address 10.0.1.1 255.255.255.0 


I NW 
ip route-static 0.0.0.0 0.0.0.0 10.0.10.254 
# 


return 


<R2>display current-configuration 
[V200R001C00SPC200] 

# 

sysname R2 

# 

interface GigabitEthernet0/0/1 

ip address 10.0.20.1 255.255.255.0 
# 

interface LoopBack0 

ip address 10.0.2.2 255.255.255.0 
# 

ip route-static 0.0.0.0 0.0.0.0 1® 0.2®254 
# 


return 


<R3>display current-configuration 
[V200R001C00SPC200] 

# 

sysname R3 

# 

interface GigabitEthernet0/0/2 

ip address 10.*,30.1*255.255.255.0 
# 

interface doopBack0 

ip address 1W,0/3.3 255.255.255.0 
# 

ip roUme-státic 0.0.0.0 0.0.0.0 10.0.30.254 
# 


return 


<R4>display current-configuration 
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[V200R001C00SPC500] 

# 

sysname R4 

# 

interface GigabitEthernet0/0/1 

ip address 10.0.40.1 255.255.255.0 
# 

interface LoopBack0 

ip address 10.0.4.4 255.255.255.0 
# 

ip route-static 0.0.0.0 0.0.0.0 10.0.40.254 
# 


return 


<Sl>display current-configuration 
# 
!Software Version V100R006C00SPC800 
sysname S1 
# 
vlan batch 10 to 14 
# 
stp region-configuration 
region-name FW 
instance 1 vlan 10 
active region-configuration 
# 
interface GigabitEthernet0/0/2 
port link-type access 
port default vlan 12 
# 
interface GigabitEthernet0/0/4 
port link-type access 
port default vlàn.14 
# 
interface GigabitEthérnet0/0/9 
port linkétypeNtrunk 
port trunk ahlow-pass vlan 11 to 14 
# 
interfaee GigabitEthernet0/0/10 
pOst link-type access 
port default vlan 10 
# 
interface GigabitEthernet0/0/21 
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port link-type access 

port default vlan 10 

# 

interface GigabitEthernet0/0/22 
port link-type trunk 

port trunk allow-pass vlan 11 to 14 
# 


return NW 


<S2>display current-configuration 
# 
!Software Version V100R006C00SPC800 
sysname $2 
# 
vlan batch 10 to 14 
# 
stp region-configuration 
region-name FW 
instance 1 vlan 10 
active region-configuration 
# 
interface GigabitEthernet0/0/1 
port link-type access 
port default vlan 11 
# 
interface GigabitEthernet0/0/3 
port link-type access 
port default vlan 13 
# 
interface GigabitEthezrnet0/079 
port link-type trunk 
port trunk allow-pasS^vlan 11 to 14 
# 
interface GigabitEthepnet0/0/10 
port link-type access 
port default vtan 10 
# 
interfacesGigabitEthernet0/0/11 
port lšnk-type access 
post default vlan 10 
# 
interface GigabitEthernet0/0/12 


port link-type trunk 
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port trunk allow-pass vlan 11 to 14 


# 


return 


HRP M«FWl»display current-configuration 


# 
sysname FW1 
# 


hrp mirror session enable 


hrp enable 


hrp interface Ethernet0/0/0 


# 
firewall packet-filter 
firewall packet-filter 


firewall packet-filter 


xX 


default deny interzone local trust direction inbound 


default deny interzone local trust direction outbound 


default deny interzone local untrust direction inbound 


firewall packet-filter default deny interzone local udnt*ust direction outbound 


firewall packet-filter 
firewall packet-filter 
firewall packet-filter 
firewall packet-filter 
firewall packet-filter 
firewall packet-filter 
firewall packet-filter 
firewall packet-filter 
firewall packet-filter 
firewall packet-filter 
firewall packet-filter 
firewall packet-filter 
firewall packet-filter 


firewall packet-filter 











firewall packet-filte® 





vlan batch J 11 to%w14 








rünmode firewall 
# 


interface Vlanifll 


q 


a 


a 


a 


a 


a 


defaul 


efaul 
efaul 
efaul 


efaul 


efaul 
efaul 
efaul 
efaul 
efaul 
efaul 


efaul 





q 


defaul 


efaul 


efault deny 


lt deny interzone 
lt deny interzone 
lt deny interzone 


lt deny interzofie 


lt deny int€rzone 
lt denyginterZOne 
lt deny interzone 
lt denyWNinterzone 
lt deny interzone 
L@ deny’ interzone 
lt deny interzone 
|C*deny interzone 


lt deny interzone 





lt deny interzone 


undo firewall ipvw6 session link-state check 


undo firewall, séssion link-state check 


ip address 10.0.10.2 255.255.255.0 
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local dmz d 
local. dmz d 
Tocal abc d 


local abc d 


trust dmz d 
trust dmz d 


trust abc d 





trust abc d 


irection inbound 
irection outbound 
irection inbound 


irection outbound 


interzoge trust untrust direction inbound 


irection inbound 
irection outbound 
irection inbound 


irection outbound 


dmz untrust direction inbound 


dmz untrust direction outbound 


abc untrust direction inbound 


abc untrust direction outbound 


abc dmz direction inbound 


abc dmz direction outbound 
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vrrp vrid 11 virtual-ip 10.0. 
# 
interface Vlanif12 

ip address 10.0.20.2 255.255. 
vrrp vrid 12 virtual-ip 10.0. 
# 
interface Vlanif13 

ip address 10.0.30.2 255.255. 
vrrp vrid 13 virtual-ip 10.0. 
# 
interface Vlanifl4 


ip address 10.0.40.2 255.255. 





vrrp vrid 14 virtual-ip 10.0. 
# 

interface Ethernet0/0/0 

ip address 10.0.50.2 255.255. 
# 

interface Fthernet1/0/0 
portswitch 


port link-type trunk 


10.254 slave 


255.0 
20.254 master 


255.0 
30.254 slave 


255.0 
40.254 master 


255.0 


port trunk permit vlan 1 11 to 14 


# 

firewall zone local 

set priority 100 

# 

firewall zone trust 

set priority 85 

add interface Vlanifl2 
add interface Vlanifl3 
# 

firewall zone untrust 
set priority 5 

add interface VAanifll 
add interface Vlanifl4 
# 

firewall zone dmz 

set priority*50 

# 

firewali zone name abc 
ër, priority 80 

add interface Ethernet0/0/0 
# 


nga-jitter tag-version 1 
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# 

ip route-static 10.0.1.0 255.255.255,0 10.0.10.1 
ip route-static 10.0.2,0 255,255,295.0 10.0.20.1 
ip route=-static 10.0.3.0 255.255.255.0 10.0,30.1 
ip route-static 10.0.4.0 255,.255,255.0 10.0.40.1 


slb 


cwmp 


right-manager server-group 








return 


HRP_S<FW2>display current-configuration 

# 

sysname FW2 

# 

hrp mirror session enable 

hrp enable 

hrp interface Ethernet0/0/0 

# 

firewall packet-filter default denyginterzone local trust direction inbound 
firewall packet-filter default deny interzone local trust direction outbound 
firewall packet-filter default deny “‘interzone local untrust direction inbound 
firewall packet-filter default deny interzone local untrust direction outbound 
firewall packet-filter default deny'interzone local dmz direction inbound 
firewall packet-filter default deny interzone local dmz direction outbound 
firewall packet-filter defaultWdeny interzone local abc direction inbound 
firewall packet-filter /defa"lt deny interzone local abc direction outbound 
firewall packet-filtef*dé£8ult deny interzone trust untrust direction inbound 
firewall packet-filte&,default deny interzone trust dmz direction inbound 
firewall packetffiilter default deny interzone trust dmz direction outbound 


firewall packét-filtér default deny interzone trust abc direction inbound 





firewall packet-fister default deny interzone trust abc direction outbound 

firewall packet-filter default deny interzone dmz untrust direction inbound 
firewall paCket-filter default deny interzone dmz untrust direction outbound 
firewáll*packet-filter default deny interzone abc untrust direction inbound 
firewall packet-filter default deny interzone abc untrust direction outbound 


fi*ewall packet-filter default deny interzone abc dmz direction inbound 

















firewabl packet-filter default deny interzone abc dmz direction outbound 
# 


undo firewall ipv6 session link-state check 
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# 
vlan batch 
# 


1 11 to 14 


undo firewall session link-state check 


# 

interface Vl 
ip address 
vrrp vrid 
# 

interface Vl 
ip address 
vrrp vrid 
# 

interface Vl 
ip address 
vrrp vrid 
# 

interface Vl 


ip address 


lanifll 
10.0.10.3. 255.255; 
1 virtual-ip 10.0. 


lanif12 
10.0.20.3 255.255. 
2 virtual-ip 10.0. 


lanif13 
10.0.30.3 255.255. 
3 virtual-ip 10.0. 


lanifl4 
10.0.40.3 255.255; 





vrrp vrid 


# 


4 virtual-ip 10.0. 


interface Ethernet0/0/0 


ip address 
# 


10.0.50.3 255.255. 


interface Ethernet1/0/0 


portswitch 


port link-type trunk 


255.0 
10.254 master 


255.0 


20.254 slave 


255.0 
30.254 master 


255.0 


40.254 slave 


255.0 


port trunk permit vlan 1 1ll¿to 14 


# 


firewall zone local 


set priority 100 


# 


firewall zone tzüst 


set priority Dë 


add interface Vlantf12 


add interface Vlanif13 


# 


firewall zone untrust 


set priority 5 


add. interface Vlanifll 


add interface Vlanifl4 


# 


firewall zone dmz 
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set priority 50 
# 

firewall zone name abc 

set priority 80 

add interface Ethernet0/0/0 
# 

nqa-jitter tag-version 1 

# 

ip route-static 10. 
ip route-static 10. 


ip route-static 10. 


O O O o 


ip route-static 10. 


slb 


cwmp 


right-manager server-group 








return 
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1.0 255.255.255. 
2.0 255.255.255. 
.3.0. 255.255.255. 
4.0 255,255.255. 
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第 二 章 服务 质量 与 流量 控制 
实验 2-1 Qos 基础 
学 习 目 的 M 


e ”掌握 使 用 NQA 分 析 SLA 的 方法 

° ”掌握 进行 优先 级 映射 和 流量 监管 的 方法 

e ”掌握 配置 流量 整形 的 方法 

e ”掌握 实现 基于 队列 和 基于 流 分 类 的 拥塞 管理 方法 


° ”掌握 配置 WRED 实 现 拥 塞 避免 的 方法 


R4 R3 


4|Go/on d 
S3 S1 1Lcool4 R1 R2 S2 1coo3 
EJ E0/0/13 E Goen 4 10012004 2 2 EN 
G0/0/13 Sonn 3 
3 11010 — mQ 0/0/2 


10.0.145.0/24 | G0/0/5 10.0.34.0/24 0/0/24 
4 


:4 |E0/0/24 


S4 





图 2-1 QoS 基础 


你 是 公司 的 网 络 管理 员 。 公 司 网 络 分 成 两 部 分 ， 其 中 R1 与 S1 在 公司 总 部 , 
R2 与 2 在 公司 分 部 ， 之 间 通 过 专线 实现 互联 。 
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随 着 网 络 的 发 展 ， 内 网 带宽 逐渐 增 大 ， 而 专线 的 带宽 一 直 没 有 升级 ， 所 以 网 
络 中 出 现 了 比较 严重 的 重要 业务 反应 较 慢 ， 或 无 法 正常 使 用 的 情况 。 


使 用 QoS 的 差分 服务 ， 你 可 以 调整 相应 的 QoSs 特 性， 保证 重要 的 业务 数据 能 
更 好 的 发 送 到 目标 。 
实验 中 ，S3 和 S4 使 用 NQA 相 互 发 送 数 据 ， 模拟 大 量 数据 流 的 发 送 。R3、R4 
与 R5 模 拟 客户 端 和 服务 器 ， 测 试 重要 应 用 是 否 可 以 正常 使 用 。 
xX 


学 习 任 务 


步骤 一 .基础 配置 与 IP 编 址 


给 所 有 路 由 器 和 交换 机 93，S4 配 置 IP 地 址 和 掩 码 。 


配置 时 需要 将 R1 接 口 $1/0/0 的 波 特 率 配 置 为 72000 “作为 广域网 链 路 ， 
带宽 不 足 而 出 现 拥塞 。 


Huawei>system-view 


AS 


Enter system view, return user view with Ctrl*z. 
Huawei]sysname R1 

Rl]interface Serial 1/0/0 

Rl-Seriall/0/0]ip address 10.0.12.1 255:7255.255.0 
Rl-Seriall/0/0]baudrate 72000 
Rl-Seriall/0/0]interface GigabitEthernet 0/0/1 





Rl-GigabitEthernet0/0/1]ip address 1040.145.1 255.255.255.0 


<Huawei>system-view 

Enter system view, return mser@view with Ctrl+zZ. 
Huawei]sysname R2 

R2]interface s1/0/0 


[ 
[ 
[R2-Seriall/0/0]ip address 10.0.12.2 255.255.255.0 
[R2-Seriall/0/0]interface GigabitEthernet 0/0/2 

[ 


R2-GigabitEthernet0¥0/2]ip address 10.0.34.2 255.255.255.0 


«Huawei»systemeview 

Enter systemview, return user view with Ctrl+Z. 
[Huawef]sysname R3 

[R3]interface GigabitEthernet 0/0/2 
[R3-Gigabtt&Ethernet0/0/2]ip address 10.0.34.3 255.255.255.0 


^ 


Huawei>system-view 


Enter system view, return user view with Ctrl+Z. 





[Huawei]sysname R4 
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R4Jinterface GigabitEthernet 0/0/1 


R4A-GigabitEthernet0/0/1]ip address 


^ 


Huawei»system-view 

Enter system view, return user view 
[Huawei]sysname R5 

[R5]interface GigabitEthernet 0/0/1 
[R5-GigabitEthernet0/0/1]ip address 


^ 


Huawei»system-view 


Enter system view, return user view 





[Huawei]sysname S3 
[S3]interface vlan 


[S3]interface Vlanif 1 
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10.0.145.4 255.255.255.0 


with Ctrl+Z. 


10.0.145.5 :2255.255.255.0 


with Ctrl-*Zz. 


[S3-Vlanifl]ip address 10.0.145.3 255.255.255.0 


«Huawei»system-view 
Enter system view, return user view 
[Huawei]sysname S4 


[S4]interface Vlanif 1 


with Ctrl+Z.« 


[S4-Vlanifl]ip address 10.0.34.4 255.255.28.9 


配置 完成 后 ， 测 试 直 连 链 路 的 连通 性 。 


[Rl]ping =- 1 10.0.12.2 


PING 10.0.12.2: 56 data bytes, press, CTRL C to break 


Reply from 10.0.12.2: bytes-56 Sequence-1 ttl1-255 time=36 ms 


--- 10.0.12.2 ping statisti -- 
1 packet(s) transmitté@ 
1 packet(s) received 


0.00$ packet loss 


round-trip min/avg/max = 36/36/36 ms 


[R1]ping -c 1 10.9.145.3 


PING 10.0¢145.3: 56 data bytes, press CTRL C to break 


Reply Com 1070.145.3: bytes-56 Sequence-1 ttl-255 time=35 ms 


———O0.0.—15.3 ping statistics === 
1 packet(s) transmitted 
l^*gacket(s) received 


Q.00% packet loss 


round-trip min/avg/max = 35/35/35 ms 
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[Rl]ping -c 1 10.0.145.4 
PING 10.0.145.4: 56 data bytes, press CTRL C to break 


Reply from 10.0.145.4: bytes-56 Sequence-1 tt1-255 time=6 ms 


=== 10,.0.145,4 ping statistics --- 
1 packet(s) transmitted 
1 packet(s) received 


0.00$ packet loss X 
round-trip min/avg/max = 6/6/6 ms 


[R1]ping -c 1 10.0.145.5 
PING 10.0.145.5: 56 data bytes, press CTRL C to break 


Reply from 10.0.145.5: bytes-56 Sequence-1 tt1-255 time=6 ms 


===. 10.0.145.5 ping statistics === 
1 packet(s) transmitted 
1 packet(s) received 
0.00$ packet loss 


round-trip min/avg/max - 6/6/6 ms 


[R2]ping -c 1 10.0.34.3 
PING 10.0.34.3: 56 data bytes, press CTRL C to break 
bytes-56 Seguence-1 tt1-255 time-5 ms 


Reply from 10.0.34.3: 
=== 10.0.34.3 ping statistics &-- 

1 packet(s) transmitted 

1 packet(s) received 

0.00$ packet loss 


round-trip min/avg/max/- 5/545 ms 


[R2]ping -c 1 10.0.3424 
PING 10.0.34.4: 56 data bytes, press CTRL C to break 
bytes-56 Sequence-1 ttl=255 time=36 ms 


Reply from 1079.34.4: 
--- 10.0.34.4 pinWistatistics --- 

1 packet (s) "&ransmitted 

1 packet (Si received 

0.00% *packet loss 

round-trip min/avg/max = 36/36/36 ms 
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在 所 有 路 由 器 和 交换 机 S3，S4 上 配置 静态 路 由 。 


R3] ip route-static 0.0.0.0 


R4]ip route-static 0.0.0.0 





R5] ip route-static 0.0.0.0 


S3]ip route-static 0.0.0.0 








S4]ip route-static 0.0.0.0 


0.0.0.0 10.0.34. 
0.0.0.0 10.0.14 
0.0.0.0 10.0.14 
0.0.0.0 10.0.14 
0.0.0.0 10.0.34. 





配置 完成 后 ， 测 试 网 络 连通 性 。 


[S3]ping -c 1 10.0.34.4 





Rllip route-static 10.0.34.0 255.255.255.0 10.0.12.2 


R2]ip route-static 10.0.145.0 255.255.255.0 10.0.12.1 


Sad 


Sud 


S PM 


PING 10.0.34.4: 56 data bytes, press QTRL C to break 


Reply from 10.0.34.4: bytes-56 Sequenc@=1 ttl1-252 time-40 ms 


=== 10.0.34.4 ping statistics g-- 


1 packet(s) transmitted 
1 packet(s) received 
0.00$ packet loss 


round-trip min/avg/max/= 


[R4]ping -c 1 10.0.34,3 


PING 10.0.145.4: 56 Wdata bytes, press CTRL C to break 
Reply from 10/Q.145.4: bytes-56 Sequence-1 ttl-255 time=3 ms 


40740/40 ms 


--- 10.0.145.4 pimg statistics --- 


1 packet (s) transmitted 
1 packet (al received 
0.0029*packet loss 


round-trip min/avg/max = 


PR5] ping -c 1 10.0.34.3 


3/3/3 ms 


PING/10.0.34.3: 56 data bytes, press CTRL C to break 


Reply from 10.0.34.3: bytes-56 Sequence-1 ttl1-253 time=44 ms 
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=== 10.0.34.3 ping statistics === 
1 packet(s) transmitted 
1 packet(s) received 
0.00% packet loss 
round-trip min/avg/max = 44/44/44 ms 


S3 去 往 S4 , R4 ，R5 去 往 R3 可 以 连通 ， 证 明 网 络 通信 正常 。 < 


公司 总 部 和 分 部 之 间 的 链 路 为 72K 串 行 链 路 ， 因 而 在 实际 情况 中 很 容易 造成 
拥塞 。 


实验 中 使 用 NQA 在 网 络 中 产生 流量 。S4 作 为 NQA 服 务 器 端 全 33 作 为 NQA 
客户 端 。 

定义 UDP ,jitter 两 种 NQA 测 试 例 ， 分 别 用 来 模拟 企业 网 中 的 数据 流量 和 语 
音 流量 。 

通过 设置 NQA 测 试 例 中 的 一 些 参数 来 实现 两 种 流量 中 任何 一 种 单独 存在 的 
情况 下 不 会 产生 拥塞 ， 二 者 共存 的 情况 下 会 产生 拥塞 来 模拟 实际 环境 。 


在 S4 设 上 配置 NQA 服 务 器 端 , UDP 监听 的 IP 地 址 设 为 10.0.34.4， 端 口号 设 
为 6000。 


[S4]nqa-server udpecho 10.0.34.4 6000 


在 S3 上 配置 UDP 类 型 的 NQA 测 试 例 模拟 数据 流量 ,其 中 tos 设 为 28 , 包 大 小 
为 5800 字 节 ， 包 间隔 设 为 1s， 周 期 设 为 3s， 超 时 设 为 1s， 并 开启 该 测试 。 


S3]nqa test-instance admin udp 
S3-nqa-admin-udp] test-type ,udp 
S3-nqa-admin-udp] destinatéion-address ipv4 10.0.34.4 
$3-nqa-admin-udp]destinatióm-port 6000 
S3-nqa-admin-udp]tos 28 
$3-nqa-admin-udPjinterval seconds 1 


S3-nqa-admin-üdp]fréquency 3 








p 

p 

p 
S3-nqa-admin-udp] datasize 5000 

p 

D 

D 


S3-nqa-admin-udp] timeout 1 








S3-nga-admin-tdp] start now 


查看 UDP 测试 结果 。 


[S3]disphay/nqa results test-instance admin udp 


ly. Test 2 result The test is finished 


Send operation ime s iS FecenveersSer Se ismo suis 
Completion:success RTD OverThresholds number: 0 
Attempts number:1 Drop operation number:0 
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Disconnect operation number:0 


System busy operation number:0 


Operation sequence errors number:0 


Destination ip address:10.0.34.4 
Min/Max/Average Completion Time: 
Sum/Square-Sum Completion Time: 
Last Good Probe Time: 


° 


Lost packet ratio: 0 % 
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Operation timeout number:0 
Connection fail number:0 


RTT Stats errors number:0 


930/950/943 
2830/2669900 
2008-01-28 23:10:02.4 


此 时 不 丢 包 ， 链 路 没有 产生 拥塞 。 关 闭 UDP 测试 。 


[S3]nqa test-instance admin udp 


[S3-nqa-admin-udp] stop 


在 S3 上 配置 Jitter 类 型 的 NQA 测 试 例 模拟 语音 流量 ， 其 中 tos 设 为 46， 包 大 


小 为 90 字 节 ， 包 间隔 设 为 20ms， 周 期 设 为 3s， 超 时 设 为 1s ,并 开启 该 测试 。 


S3]nqa test-instance admin jitter 


S3-nqa-admin-jitter]tos 46 


S3-nqa-admin-jitter]datasize 90 


S3-nqa-admin-jitter]frequency 3 


S3-nqa-admin-jitter]timeout 1 











S3-nqa-admin-jitter]start now 


查看 Jitter 测 试 结果 。 


S3-nqa-admin-jitter]test-type jitter 


S3-nqa-admin-jitter]destination-address ipv4,10® 0.34.4 


S3-nqa-admin-jitter]destination-port 6000 


S3-nqa-admin-jitter]interval milliseconds 20 


[S3]display nqa results teSt-énstance admin jitter 


NQA entry(admin, jitter) 


1 . Test 1 result 
SendProbe: end NU 
Completion:success 
Min/Max/Évg/Sum RTT: 40/70/54/3260 
NumOfRTT N60 

Operation sequence errors number:0 
System busy operation number:0 

Min Posative SD:10 

Max«Positive SD:10 

Positive SD Number:5 

Positive SD Sum:50 


Positive SD Square Sum:500 


HC Series 
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:testflag is active ,testtype is jitter 


The test is finished 


ResponseProbe: 60 

RTD OverThresholds number: 0 
RTT Square Sum:179800 

Drop operation number:0 

RIT Stats errors number:0 
Operation timeout number:0 
Min Positive DS:10 

Max Positive DS:10 

Positive DS Number:11 
Positive DS Sum:110 


Positive DS Square Sum:1100 
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Min Negative SD:10 Min Negative DS:10 

Max Negative SD:10 Max Negative DS:20 

Negative SD Number:4 Negative DS Number:10 
Negative SD Sum:40 Negative DS Sum:110 
Negative SD Square Sum:400 Negative DS Square Sum:1300 
Min Delay SD:20 Min Delay DS:19 

Avg Delay SD:27 Avg Delay DS:26 

Max Delay SD:35 Max Delay DS:34 "4 
Packet Loss SD:0 Packet Loss DS:0 

Packet Loss Unknown: 0 jitter out value:0.0937505 
jitter in value:0.2291667 NumberOfOWD: 60 

OWD SD Sum:1630 OWD DS Sum:1570 


TimeStamp unit: ms 


此 时 不 丢 包 ， 链 路 没有 产生 拥塞 。 关 闭 Jitter 测 试 。 


[S3]nqa test-instance admin jitter 


[S3-nqa-admin-jitter]stop 


步骤 三 . 配置 优先 级 映射 


现在 通过 ping 命 令 来 模拟 公司 中 一 些 不 太 重要 的 流量 ,并 且 针对 这 部 分 
将 其 DSCP 优 先 级 映射 为 BE， 不 做 Qes 保 证 。 


配置 R1 的 接口 G0/0/1 与 $1/0/0 信 住 报 文 的 DSCP 优 先 级 。 


[R1]interface GigabitEthernetaQ/0/1 
[R1-GigabitEthernet0/0/1]trüst dscp override 
[R1-GigabitEthernet0/0/1]ànterface Serial 1/0/0 
[R1-Seriall/0/0]trust “cp 


LNA 


RE 
分 流量 ， 


在 接口 G0/0/1 上 的 trust 命 令 中 需要 加 上 override 参 数 ， 使 得 接 下 来 在 R1 


上 配置 优先 级 映射 后 , 将 DSCP 值 修改 为 映射 后 的 值 。 
在 R4 上 使 用 ping 命 令 产生 去 往 R3 的 流量 ， 并且 将 tos 设 为 26。 


[R4]ping Sos 26 司 0.0.34.3 


在 R1 上 配置 优先 级 映射 关系 ， 将 该 流量 的 DSCP 报 文 优先 级 26 映 射 为 0 ， 


[BAN qos map-table dscp-dscp 
[R1-maptbl-dscp-dscp]input 26 output 0 


查看 R1 上 的 优先 级 映射 信息 。 
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[Rl]display qos map-table dscp-dscp 








Input DSCP DSCP 
0 0 
1 1 
2 2 
3 3 
4 4 K 
5 5 
6 6 
7 7 
8 8 
9 9 
0 0 
1 1 
2 2 
3 3 
4 4 
5 5 
6 6 
7 7 
8 8 
9 9 

20 20 

21 21 

22 22 

23 23 

24 24 

25 25 

26 0 

2d 27 

28 28 

29 29 

30 30 


此 时 可 以 观察 到 ， 现在 已 将 DSCP 报 文 优先 级 26 映 射 成 为 了 0 ,而 其 余 DSCP 
值 都 是 默认 映射 值 。 


步骤 四 配置 整形 与 监管 


开启 S3 上 的 NQA 的 UDP 与 Jitter 测 试 ， 模 拟 公 司 总 部 与 分 部 之 间 的 72K 链 路 
FERS, 
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[S3]nqa test-instance admin udp 
[S3-nqa-admin-udp] start now 
[S3-nqa-admin-udp]nqa test-instance admin jitter 


[S3-nqa-admin-jitter]start now 


在 R4 上 使 用 ping 命 令 实现 模拟 去 往 R3 的 流量 ， 设 置 包 大 小 为 700 字 节 ， 发 
10 个 包 。 


[R4]ping -s 700 -c 10 10.0.34.3 X 
PING 10.0.34.3: 700 data bytes, press CTRL_C to break 

Request time out 

Request time out 

Request time out 

Request time out 

Request time out 

Request time out 


Request time out 





Request time out 
Reply from 10.0.34.3: bytes=700 Sequence=9 ££l2253 time-1944 ms 


Request time out 





ses: 10.0,34.3 ping statistics === 
10 packet (s) transmitted 
1 packet (s) received 
90.00% packet loss 
round-trip min/avg/max = 1944/7194471944 ms 


此 时 公司 总 部 与 分 部 之 间 的 链 路 发 生 严 重 拥塞 ， 丢 包 现 象 严重 ， 即 使 通过 的 
数据 包 延 迟 也 非常 大 。 此 时 R4 无 法 与 R3 建 立正 常 通信 。 

下 面 将 介绍 分 别 通过 使 用 流量 监管 和 流量 整形 的 方法 来 消除 链 路 上 的 拥塞 ， 
使 得 公司 总 部 的 客户 端 风 与 分 部 的 客户 端 R3 能 够 建立 正常 通信 。 

首先 通过 流量 监管 来 消除 拥塞 。 在 S1 上 ， 针 对 拥塞 流量 入 接口 GO/0/13 上 配 
置 流量 监管 ，GIR 设 为 64kbit/s。 


[S1]interface, GigabitEthernet 0/0/13 
[S1-GigabitEthernet0/0/13]qos lr inbound cir 64 


查看 SE 上 流量 监管 的 配置 信息 。 


[SA] display gos lr inbound interface GigabitEthernet 0/0/13 
GigabitEthernet0/0/13 lr inbound: 
Cie: 64 Kbps, cbs: 8000 Byte 


106 HUAWEI TECHNOLOGIES HC Series 








HCDP-IENP 第 二 章 服务 质量 与 流量 控制 








现在 再 回 到 R4 上 使 用 ping 命 令 实现 模拟 去 往 R3 的 流量 ， 设 置 包 大 小 为 700 
FP, R108. 








[R4]ping -s 700 -c 10 10.0.34.3 
PING 10.0.34.3: 700 data bytes, press CTRL C to break 
Reply from 10.0.34.3: bytes-700 Sequence-1 ttl1-253 time-1412 ms 
Reply from 10.0.34.3: bytes-700 Sequence-2 ttl-253 time-255 ms 
Reply from 10.0.34.3: bytes-700 Sequence-3 ttl1-253 time-736 ms 
Reply from 10.0.34.3: bytes-700 Sequence-4 ttl1-253 time=1746 ms 
Reply from 10.0.34.3: bytes-700 Sequence-5 ttl-253 time-246 ms 
Reply from 10.0.34.3: bytes-700 Sequence=6 ttl-253 time-746 ms 
Reply from 10.0.34.3: bytes-700 Sequence-7 ttl1-253 time-1736 ms 
Reply from 10.0.34.3: bytes-700 Sequence-8 ttl1-253 time=258%ms 
Reply from 10.0.34.3: bytes-700 Sequence-9 ttl-253 time-766 ms 
Reply from 10.0.34.3: bytes-700 Sequence=10 ttl1-253.time-1736 ms 








===. 10.0,.34.3 ping statistics === 
10 packet(s) transmitted 
10 packet(s) received 
0.00% packet loss 
round-trip min/avg/max = 246/963/1746 ms 


此 时 流量 监管 产生 效果 ， 不 丢 包 ，R4 和 RS 之 间 能 够 建立 起 正常 通信 。 
删除 S1 上 流量 监管 配置 。 


[S1]interface GigabitEthernet 0/0/13 
[S1-GigabitEthernet0/0/13]undo,qos ‘hr inbound 


现在 通过 流量 整形 的 方式 .来 达到 消除 拥塞 的 目的 。 在 S3 上 ,针对 拥塞 流量 出 
接口 E0/0/13 上 配置 流量 整形 9 CIR 设 为 64kbit/s。 
[S3]interface Etherne£0/0/13 
[S3-Ethernet0/0/13]qos Wr outbound cir 64 


在 R4 上 使 用 ping 命 令 实现 模拟 去 往 R3 的 流量 ， 设置 包 大 小 为 700 字 节 ， 发 
10 个 包 。 


[R4]ping -s W00 rc 10 10.0.34.3 
PING/10.0.34.3: 700 data bytes, press CTRL C to break 














Reply from 10.0.34.3: bytes-700 Sequence-1 ttl-253 time-240 ms 
Reply from 10.0.34.3: bytes-700 Sequence=2 ttl-253 time-284 ms 
Reply from 10.0.34.3: bytes-700 Sequence=3 tt1-2253 time=334 ms 
Reply from 10.0.34.3: bytes-700 Sequence-4 tt1-253 time-224 ms 
Reply from 10.0.34.3: bytes-700 Sequence-5 ttl-253 time-344 ms 
Reply from 10.0.34.3: bytes-700 Sequence=6 ttl-253 time-275 ms 
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Reply from 10.0.34. bytes=700 Sequence=7 ttl=253 time=534 ms 


Reply from 10.0.34. bytes=700 Sequence=8 ttl=253 time=184 ms 


Reply from 10.0.34. bytes=700 Sequence=9 ttl=253 time=204 ms 


w wù WwW Ww 


Reply from 10.0.34. bytes=700 Sequence=10 ttl=253 time=314 ms 
=== 10.0.34.3 ping statistics === 
10 packet(s) transmitted 
10 packet(s) received X 
0.00% packet loss 
round-trip min/avg/max = 184/293/534 ms 


此 时 流量 监管 产生 效果 ， 不 丢 包 ，R4 和 R3 之 间 能 够 建立 起 正常 通信 。 
删除 S3 上 的 流量 整形 配置 ， 


[S3]interface Ethernet0/0/13 
[S3-Ethernet0/0/13]undo qos lr outbound 


现在 再 回 到 R4 上 使 用 ping 命 令 实现 模拟 去 往 R3 的 流量 ， 设置 包 大 小 为 700 
FË, R108. 


[R4]ping -s 700 -c 10 10.0.34.3 
PING 10.0.34.3: 700 data bytes, press @TRL,€ to break 

Reply from 10.0.34.3: bytes-700 Sequence-1 ttl1-253 time-1918 ms 
Request time out 

Reply from 10.0.34.3: bytes-700 Sequence-3 ttl1-253 time-1762 ms 
Request time out 

Request time out 

Request time out 

Request time out 

Request time out 


Request time out 





Request time out 


=== 10.0.34. pinogwgtatistics --- 
10 packet(s) transmitted 


2 packe£ (s received 


80.00% Packet/loss 


round-trip min/avg/max = 1762/1840/1918 ms 


删除 配置 之 后 ， 丢 包 严 重 ， 并 且 通 过 的 数据 包 延 迟 也 非常 大 。R4 与 R3 之 间 
无 法 建立 起 正常 通信 。 
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步骤 五 .配置 基于 队列 的 拥塞 管理 与 拥塞 避免 


为 了 解决 公司 总 部 与 分 部 之 间 产 生 的 网 络 拥塞 ， 现 在 通过 配置 基于 队列 的 拥 
管理 和 拥塞 避免 的 方式 解决 。 


fER1 EG WREDZ rts data ,使 其 基于 DSCP 优 先 级 进行 丢弃 。 将 阀 值 
上 限 设 为 90， 下 限 设 为 50， 丢 弃 概率 设 为 30。 Q 


[R1]drop-profile data 
[R1-drop-profile-data]dscp af32 low-limit 50 high-limit 90 dis@ard-percentage 
30 


[R1-drop-profile-data]wred dscp 


在 R1 上 创建 队列 模板 queue-profilel， 将 数据 流量 放 入 WFQ 队 列 ， 并 和 丢 
弃 模 板 data 绑 定 ， 将 需要 高 优先 级 ， 低 延迟 保证 的 语音 流量 放 入 PQ 队列 。 


[Rl]qos queue-profile queue-profilel 
[R1-qos-queue-profile-queue-profilel]queue 3 dropeprofile data 


[R1-qos-queue-profile-queue-profilel]schedule wfq 3ypq 5 


在 R1 的 S1/0/0 上 应 用 队列 模板 。 


[Rl]interface Serial 1/0/0 


[R1- Serial0/0/1]qos queue-profile queue-profilel 


查看 配置 的 队列 模板 信息 。 


[R1]display qos queue-profile queué&profilel 
Queue-profile: queue-profilef 


Queue Schedule Weight Length(Bytes/Packets) Gts (CIR/CBS) 


此 时 数据 流量 与 语音 流量 分 别 使 用 了 WFQ 与 PQ 队 列 。 
查看 配置 的 丢弃 模板 信息 。 


[R1]display*drop-profile data 
Drop-proófile[1]: data 


DSCP Low-limit  High-limit Discard-percentage 
default 30 100 10 
1 30 100 10 
2 30 100 10 
3 30 100 10 
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4 30 00 0 
5 30 00 0 
6 30 00 0 
7 30 00 0 
cs 30 00 0 
9 30 00 0 
af11 30 00 0 
1 30 00 0 ç 
af12 30 00 0 
3 30 00 0 
af13 30 00 0 
5 30 00 0 
cs2 30 00 0 
7 30 00 0 
af21 30 00 0 
9 30 00 0 
af22 30 00 0 
2n 30 00 0 
af23 30 00 0 
23 30 00 0 
cs3 30 00 0 
25 30 00 0 
af31 30 00 10 
27 30 00 0 
af32 50 9 a So 
29 30 00 0 
af33 30 00 0 
31 30 o 0 
cs4 30 100 0 
33 30 do 0 
af41 30 00 0 


可 以 观察 到 配置 上 限 ， 下 限 阀 值 与 丢弃 概率 产生 的 效果 ， 其余 作 没有 配置 的 
对 应 的 都 是 默认 值 。 


为 了 解决 公司 总 部 与 分 部 之 间 产 生 的 网 络 拥塞 ， 现在 通过 配置 基于 流 的 拥塞 
管理 和 拥塞 避免 的 方式 解决 。 


现在 将 公司 总 部 的 客户 端 R4 与 分 部 的 客户 端 R3 之 间 的 流量 定义 为 重要 流量 ， 
通过 对 其 做 QoSs 保 证， 使 得 R4 与 R3 能 够 建立 正常 的 通信 。 
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删除 步骤 五 中 R1 接 口 S1/0/0 上 队列 模板 的 调用 。 


[Rl]interface GigabitEthernet 0/0/1 


[R1-GigabitEthernet0/0/1]undo qos queue-profile 


在 R4 上 使 用 ping 命 令 测 试 去 往 R3 的 连通 性 ， 设 置 源 地 址 为 10.0.145.4 , 包 
大 小 为 700 字 节 ， 发 10 个 包 。 


[R4]ping -a 10.0.145.4 =s 700 -c 10 10.0.34.3 X 
PING 10.0.34.3: 700 data bytes, press CTRL C to break 

Reply from 10.0.34.3: bytes-700 Sequence-1 ttl1-253 time=1279 ms 

Request time out 

Reply from 10.0.34.3: bytes-700 Sequence-3 ttl1-253 time=158% ms 

Reply from 10.0.34.3: bytes-700 Sequence-4 ttl=253 time-4827 ms 


Request time out 














Reply from 10.0.34.3: bytes-700 Sequence=6 ttl1-253 (timez1717 ms 
Request time out 
Request time out 


Request time out 





Request time out 


=== 10.0,24,3 ping statistics === 
10 packet(s) transmitted 
4 packet(s) received 
60.00% packet loss 
round-trip min/avg/max = 1279/1602/1827 ms 


此 时 公 部 之 间 的 链 路 发 生 严 重 拥塞 ， 丢 包 现 象 严重 ，R4 无 法 与 
R3 建 立正 常 


在 RL 上 创建 ACL3001 匹 配 从 10.0.145.4 去 往 10.0.34.3 的 流量 。 


[R1]acl number 3001 
[R1-acl-adv-3001]rule O&per ip source 10.0.145.4 0.0.0.0 destination 10.0.34.3 
0.0.0.0 


创建 流 分 类 class-ef ， 匹 配 ACL3001， 创 建 流 行为 behavior-ef ,配置 队列 
调度 方式 为 EF， 带 宽 为 10Kbps。 


[R1]tráaf*£ic classifier class-ef 
[R1-chassifier-class-ef]if-match acl 3001 
[Ri-classifier-class-ef]traffic behavior behavior-ef 


[R1-béhavior-behavior-ef]queue ef bandwidth 8 


创建 流 分 类 class-af32 ， 匹 配 DSCP 值 为 AF32 的 数据 流量 ， 创 建 流行 为 
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behavior-af32， 配 置 队列 调度 方式 为 AF， 带 宽 为 30Kbps， 与 丢弃 模板 data 
绑 定 。 


[R1]traffic classifier class-af32 
[R1-classifier-class-af32]if-match dscp af32 
[R-classifier-class-af321]traffic behavior behavior-af32 
[R1-behavior-behavior-af32]queue af bandwidth 30 


[R1-behavior-behavior-af32]drop-profile data 


创建 流 策略 policy-1， 关 联 流 分 类 class-ef 和 流动 作 behavior 反 位 流 分 类 
class-af32 和 流动 作 behavior-af32， 并 在 R1 的 接口 $1/0/0 上 应 用 。 


[Rl]traffic policy policy-1 

[Rl-trafficpolicy-policy-1]classifier class-ef behavior behavior-ef 
[Rl-trafficpolicy-policy-1]classifier class-af32 behavior behavior-af32 
[R1-trafficpolicy-policy-1]interface Serial 1/0/0 
[R1-Seriall/0/0]traffic-policy policy-1 outbound 


在 R4 上 使 用 ping 命 令 测 试 去 往 R3 的 连通 性 /设置 每 个 包 大 小 为 700， 源 地 
址 为 10.0.145.4， 个 数 为 10。 














[R4]ping -a 10.0.145.4 -s 700 -c 10 10.0.34 3 
PING 10.0.34.3: 700 data bytes, press @TRIipC€ to break 
Reply from 10.0.34.3: bytes-700 Sequenee=1 ttl1-253 time-694 ms 
Reply from 10.0.34.3: bytes-700, Sequence-2 ttl-253 time=391 ms 
Reply from 10.0.34.3: bytes-700 Sequence-3 ttl-253 time-361 ms 
Reply from 10.0.34.3: bytes-700 Sequence=4 ttl-253 time-671 ms 
Reply from 10.0.34.3: bytes=700 “GSequence=5 ttl-253 time-211 ms 
Reply from 10.0.34.3: bytés-700 Sequence-6 ttl1-253 time=611 ms 
Reply from 10.0.34.3: bytes=700 Sequence-7 ttl-253 time-688 ms 
Reply from 10.0.34.3: bytes-700 Sequence-8 ttl1-253 time=391 ms 
Reply from 10.0.34,9*.bytes-700 Sequence-9 ttl1-2253 time-301 ms 
Reply from 10.0.34,3: bytes-700 Sequence-10 tt1-253 time-651 ms 








--- 10.0.34.3fping*Ngtatistics --- 
10 packet (s) tPansmitted 


10 packét (S) received 


0.00% pdeket Joss 


roufd-trip min/avg/max = 211/497/694 ms 


将 R1 去 往 R3 的 流量 设置 为 FF 队列 后 ， 现 在 R1 可 以 与 R3 建 立正 常 通信 。 
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附加 实验 : 思考 并 验证 


QoS 是 使 用 差分 服务 来 实现 对 不 同业 务 的 服务 质量 的 保证 ， 保 证 带宽 和 延迟 。 
试想 一 下 ,带宽 的 增加 是 否 可 用 彻底 解决 服务 质量 问题 ， 从 而 不 需要 使 用 QoS 2 


实验 完成 后 ， 回 想 理论 课程 中 关于 QoS 的 逻辑 处 理 过 程 。 FOES IIROS 
的 过 程 总 结 一 下 。 


最 终 设备 配置 


<R1>display current-configuration 
[V200R001C00SPC200] 
# 
sysname R1 
# 
acl number 3001 
rule 0 permit ip source 10.0.145.4 0 destánéátion 10.0.34.3 0 
# 
drop-profile data 
wred dscp 
dscp af32 low-limit 50 high-limit 90 discard-percentage 30 
# 
qos queue-profile queue-profilél 
queue 3 drop-profile data 
Schedule wfq 3 pq 5 
# 
qos map-table dscp-dscep 
input 26 output 0 
# 
traffic classifier class-ef operator or 
if-match acl 3001 
traffic classifter class-af32 operator or 
if-match dscp, af32 
# 
traffiWbehavior behavior-ef 
qüeue ef bandwidth 10 cbs 250 
tcaffic,sbehavior behavior-af32 
queue/af bandwidth 30 


drop-profile data 
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traffic behavior behavir-af32 

queue af bandwidth 30 

# 

traffic policy policy-1 

classifier class-ef behavior behavior-ef 
classifier class-af32 behavior behavior-af32 
# 

interface Seriall/0/0 

link-protocol ppp 

ip address 10.0.12.1 255.255.255.0 

trust dscp 

traffic-policy policy-1 outbound 

baudrate 72000 

# 

interface GigabitEthernet0/0/1 

ip address 10.0.145.1 255.255.255.0 

trust dscp override 

# 

ip route-static 10.0.34.0 255.255.255.0 10.0.12&2 
# 


Return 


<R2>display current-configuration 
[V200R001C00SPC200] 

# 

sysname R2 

# 

interface Seriall/0/0 

link-protocol ppp 

ip address 10.0.12.2 Q95.259.255.0 
# 

interface GigabitEthernet0/0/2 

ip address 10.0Z34.2 255.255.255.0 
# 

ip route-static 10«w7.145.0 255.255.255.0 10.0.12.1 
# 


return 


<R3>display current-configuration 
[V2@0R001C00SPC200] 

# 

sysname R3 

# 


114 HUAWEI TECHNOLOGIES 


HC Series 


HCDP-IENP 第 二 章 服务 质量 


interface GigabitEthernet0/0/2 

ip address 10.0.34.3 255.255.255.0 

# 

ip route-static 0.0.0.0 0.0.0.0 10.0.34.2 
# 


return 


<R4>display current-configuration 
[V200R001C00SPC200] 

# 

sysname R4 

# 

interface GigabitEthernet0/0/1 

ip address 10.0.145.4 255.255.255.0 

# 

ip route=static 0.0.0.0 0.0.0.0 10,0.145.1 
# 


return 


«R5»display current-configuration 
[V200R001C00SPC200] 

# 

sysname R5 

# 

interface GigabitEthernet0/0/1 

ip address 10.0.145.5 255.255.2550 

# 

ip route-static 0.0.0.0 0.QA0.0W10.0.145.1 
# 


return 


<S3>display current-configuration 

# 

!Software Version V100R006C00SPC800 
sysname S3 

# 

interface VlamifA 

ip adg&ress 10.0.145.3 255.255.255.0 
# 

jefxcoute-static 0.0.0.0 0.0.0.0 10.0.145.1 
T 

nqa Pest-instance admin udp 


test-type udp 
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destination-address ipv4 10.0.34.4 
destination-port 6000 

tos 28 

frequency 3 

interval seconds 1 

timeout 1 


datasize 5800 


start now K 
nqa test-instance admin jitter 

test-type jitter 
destination-address ipv4 10.0.34.4 
destination-port 6000 

tos 46 

frequency 3 

interval milliseconds 20 

timeout 1 

datasize 90 

start now 

# 


return 


<S4>display current-configuration 

# 

!Software Version V100R006C00SPC800 
sysname S4 

# 

interface Vlanifl 


ip address 10.0.34.4 255.255.255.0 


# 

nqa-server udpecho 10 0.34.4 6000 

# 

ip route-static 0.0.00 0.0.0.0 10.0.34.2 
# 

return 
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实验 2-2 使 用 流 策略 实现 流行 为 控制 
学 习 目 的 


e ”掌握 配置 端 到 端 QoS 的 方法 
。 ”掌握 使 用 流 策略 实现 流行 为 控制 的 方法 ~ 


R4 R3 


4|Goron d 

S3 S1 G0/0/4 R1 R2 S2 æl C0/0/3 

EJ E0/0/13 Goron 4 100/2074 2 2  GOlO/2 
35 GOIOIT3 GO/O/1 E 08 E me 


10.0.145.0/24 | G0/0/5 10.0.34.0/24 0/0/24 
E 









.5|G0/0/1 0/0/24 


ns 94 EJ 


图 2-2 使 用 流 策略 实现 流行 为 控制 


场景 


你 是 公司 的 网 络 管理 员 。 公 司 网 络 分 成 两 部 分 ， 其 中 R1 与 $1 在 公司 总 部 , 
R2 与 $2 在 公司 分 部 ， 之 间 通 过 专线 实现 互联 。 随 着 网 络 的 发 展 ， 内 网 带宽 逐渐 
增 大 , 而 专线 的 带宽 二 直 没 有 升级 ,所 以 网 络 中 出 现 了 比较 严重 的 重要 业务 反应 
较 慢 ， 或 无 法 正常 使 用 的 情况 。 


部 署 端 到 端 8oS， 你 可 以 调整 相应 的 QoS 特 性 ,保证 重要 的 业务 数据 能 更 好 
的 发 送 到 目标 六 并 通过 流 策 略 实现 对 流行 为 的 控制 。 
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学 习 任 务 


步骤 一 .基础 配置 与 IP 编 址 


给 所 有 路 由 器 和 交换 机 S3，S4 配 置 IP 地 址 和 掩 码 。 


<R1l>system-view 


[ 
[ 
[ 
[ 


Jinterface Serial 1/0/0 





R 
R 
R 
R 


<R2>system-view 


[R2]interface Serial 1/0/0 


A 


R3>system-view 

Enter system view, return user view 
[R3]interface GigabitEthernet 0/0/2 
[R3-GigabitEthernet0/0/2]ip address 


A 


R4> system-view 

Enter system view, return user view 
[R4]interface GigabitEthef£net 0/0/1 
[R4-GigabitEthernet0/0/1]ip address 


^ 


R5»system-view 
Enter system view,'return user view 


[R5]interface GigabitEthernet 0/0/1 





[R5-GigabitEthernet0/0/1]ip address 


<S3>system-viéw 
Enter/system view, return user view 


[S3]interface Vlanif 1 


with 


N.o 


with 


10.0. 


with 


10.0. 


with 


Enter system view, return user view with Ctrl+Z. 


-Seriall/0/0]ip address 10.0.12.1 255.255.255.0 
-Seriall/0/0]interface GigabitEthernet 0/0/1 
-GigabitEthernet0/0/1]ip add 10.0.145.1 255.255.255.0 


Enter system view, return user view with Ctrl+Z. 


[R2-Seriall/0/0]ip address 10.0.12.2 255.255.255.0 


[R2-Seriall/0/0]interface GigabitEthernet 0/0/2 
[R2-GigabitEthernet0/0/2]ip address 10.0.34.2 255.255.255.0 


Ctrl+Z. 


134.3 255.255,255.0 


Ctrl+zZ. 


145.4 255.255.255.0 


Ctrl+Z. 


145.5 255.255.255.0 


Ctrl+Z. 


[S32Vlanifl]ip address 10.0.145.3 255.255.255.0 


<S4>system-view 


Enter system view, return user view with Ctrl+Z. 
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[S4] interface Vlanif 1 
[S4-Vlanifl]ip address 10.0.34.4 255.255.255.0 


配置 完成 后 ， 测 试 直 连 链 路 的 连通 性 。 


[Rl]ping -c 1 10.0.12.2 
PING 10.0.12.2: 56 data bytes, press CTRL C to break 


Reply from 10.0.12.2: bytes-56 Sequence=1 ttl1-255 time=36 ms 


=== 10.0.12.2 ping statistics === 
1 packet(s) transmitted 
1 packet(s) received 
0.00$ packet loss 
round-trip min/avg/max = 36/36/36 ms 


[R1]ping -c 1 10.0.145.3 
PING 10.0.145.3: 56 data bytes, press CTRL C to break 


Reply from 10.0.145.3: bytes-56 Sequence-1 ttke255 time-35 ms 


=== 10.0.145,.3 ping statistics === 
1 packet(s) transmitted 
1 packet(s) received 
0.00% packet loss 
round-trip min/avg/max = 35/35/35 ms 


[R1]ping -c 1 10.0.145.4 
PING 10.0.145.4: 56 data bytes, press CTRL C to break 


Reply from 10.0.145.4: byfesSes6 Sequence-1 ttl-255 time=6 ms 


--- 10.0.145.4 ping statistics --- 
1 packet(s) transmitted 
1 packet(s) rece%wed 
0.00% packet loss 


round-trip min/davg/max = 6/6/6 ms 


[Rl] ping -g 1w10.0.145.5 
PING 10.08145.5% 56 data bytes, press CTRL C to break 
bytes-56 Sequence-1 ttl1-255 time-6 ms 


Reply from T0.0.145.5: 
--- 10.w,7245.5 ping statistics --- 

l^gacket(s) transmitted 

i packet(s) received 

0.00$ packet loss 


round-trip min/avg/max - 6/6/6 ms 
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[R2]ping -c 1 10.0.34.3 
PING 10.0.34.3: 56 data bytes, press CTRL_C to break 
Reply from 10.0.34.3: bytes=56 Sequence=1 ttl=255 time=5 ms 


=== 10.0.34.3 ping statistics === 
1 packet(s) transmitted 
1 packet(s) received X 
0.00% packet loss 


round-trip min/avg/max = 5/5/5 ms 
[R2]ping -c 1 10.0.34.4 
PING 10.0.34.4: 56 data bytes, press CTRL_C to break 
Reply from 10.0.34.4: bytes=56 Sequence=1 ttl=255 time=36 ms 
--- 10.0.34.4 ping statistics --- 
1 packet(s) transmitted 
1 packet (s) received 


0.00% packet loss 
round-trip min/avg/max = 36/36/36 ms 


步骤 二 . 配置 静态 路 由 


在 所 有 路 由 器 和 交换 机 93 ，9S4 上 配置 静态 路 由 。 


Rllip route-static 10.0.34.04255.255.255.0 10.0.12.2 
R2]ip route-static 10.03«45.0 255.255.255.0 10.0.12.1 
R3]ip route-statioe.fÜ WI 0.0.0.0 10.0.34.2 


R4Jip route-stgtice, 0.0.0.0 0.0.0.0 10.0.145.1 





R5]ip routg«static 0.0.0.0 0.0.0.0 10.0.145.1 


S3]ip route-Static 0.0.0.0 0.0.0.0 10.0.145.1 











S4]ip Peute-static 0.0.0.0 0.0.0.0 10.0.34.2 


配置 完成 后 ， 测 试 网 络 连通 性 。 


kS3]ping -c 1 10.0.34.4 
PING 10.0.34.4: 56 data bytes, press CTRL_C to break 
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Reply from 10.0.34.4: bytes=56 Sequence=1 ttl=252 time=40 ms 


=== 10.0.34.4 ping statistics === 
1 packet(s) transmitted 
1 packet(s) received 
0.00% packet loss 
round-trip min/avg/max = 40/40/40 ms 


[R4]ping -c 1 10.0.34.3 
PING 10.0.145.4: 56 data bytes, press CTRL C to break 
Reply from 10.0.145.4: bytes-56 Sequence-1 ttl-255 time-3 m$ 


=== 10.0.145.4 ping statistics === 
1 packet(s) transmitted 
1 packet(s) received 
0.00$ packet loss 


round-trip min/avg/max = 3/3/3 ms 


[R5]ping -c 1 10.0.34.3 
PING 10.0.34.3: 56 data bytes, press CTRL @,to break 
Reply from 10.0.34.3: bytes-56 Sequence=¥ tt1-253 time-44 ms 


=== 10,.0,34,.,3 ping statistics === 
1 packet(s) transmitted 
1 packet(s) received 
0.00$ packet loss 
round-trip min/avg/max = 44744/44 ms 


步骤 三 . 配置 DSCP 优先 级 的 重 标记 

公司 网 络 中 有 语音 ， 视 频 ， 数 据 三 种 业务 ， 但 是 由 于 公司 总 部 与 分 部 之 间 的 
专线 仍然 没有 得 到 升级 ， 所 以 不 可 避免 网 络 出 现 了 拥塞 。 

通过 配置 端 到 端的 QoS 来 实现 语音 报 文 的 优先 发 送 ， 视 频 报 文 的 带宽 保证 。 


将 R4 与 R3 之 间 的 流量 模拟 为 语音 报 文 ， 将 R5 与 R3 之 间 的 流量 模拟 为 视频 报 
文 ， 将 S3 与 54 之 间 的 报 文 模拟 为 数据 报 文 。 接 下 来 将 针对 语音 报 文 和 视频 报 文 
做 一 系列 相关 的 QoS 策 略 ， 对 数据 报 文 默认 尽 最 大 努力 传输 。 


现在 将 语音 报 文 的 DSCP 值 标记 为 EF， 视 频 报 文 的 DSCP 值 标记 为 AF32。 
在 SL 上 创建 ACL3001 , 3002 ,分 别 匹 配 R4 去 往 R3，R5 去 往 R3 的 流量 。 


[Sb] acl number 3001 
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[S1-acl-adv-3001]rule 0 permit ip source 10.0.145.4 0 destination 10.0.34.3 0 
[S1-acl-adv-3001]acl number 3002 
[S1-acl-adv-3002]rule 0 permit ip source 10.0.145.5 0 destination 10.0.34.3 0 


在 S1 上 创建 流 分 类 class-voice-s1， 匹 配 ACL3001。 创 建 流行 为 
behavior-voice-s1 ,将 DSCP 优 先 级 重 标记 为 EF。 


创建 流 策略 policy-voice-s1， 关联 流 分 类 class-voice-s1 与 流行 为 
behavior-voice-s1 ,在 接口 GO/0/4 的 入 方向 上 调用 该 流 策略 。 X 


Sl]traffic classifier class-voice-s1 
Sl-classifier-class-voice-sl]if-match acl 3001 
Sl-classifier-class-voice-sl]traffic behavior behavior-voigers1 
Sl-behavior-behavior-voice-sl]remark dscp ef 
Sl-behavior-behavior-voice-sl]traffic policy policy-voice-sl 
Sl-trafficpolicy-policy-voice-sl1]classifier class-voice-Sk behavior 
behavior-voice-sl 


Sl-trafficpolicy-policy-voice-sl]linterface GigabitEthernet 0/0/4 








S1-GigabitEthernet0/0/4]traffic-policy policy-yOói&ce-sl inbound 


在 S1 上 创建 流 分 类 class-video-s1， 匹 配 AcL3002。 创 建 流行 为 
behavior-video-s1， 将 DSCP 优 先 级 重 标记 为 AF32。 创 建 流 策略 
policy-video-s1 ,关联 流 分 类 class-vide0js1 与 流行 为 behavior-video-s1 ,在 


接口 G0/0/5 的 入 方向 上 应 用 该 流 策略 


Sl]traffic classifier class-video-9N 
Sl-classifier-class-video-sl]if-match'acl 3002 
Sl-classifier-class-video-slltraffiàc behavior behavior-video-sl 
Sl-behavior-behavior-video-$1]*emark dscp af32 
Sl-behavior-behavior-videg-smMtraffic policy policy-video-s1 
Sl-trafficpolicy-policy-videó-sl]classifier class-video-s1 behavior 
behavior-video-s1 


Sl-trafficpolicy-policy-video-sl]interface GigabitEthernet 0/0/5 








Sl1-GigabitEthernet0/0/5]traffic-policy policy-video-s1 inbound 


在 32 上 创建 ACL3001，3002， 分 别 匹 配 R3 去 往 R4 ，R3 去 往 R5 的 流量 。 


[S2]acl number 3001 

[S2-acl-adv-30Q9Y]rule 0 permit ip source 10.0.34.3 0 destination 10.0.145.4 0 
[S2-a¢él-adw-3001Jacl number 3002 

[S2-acladv73002]rule 0 permit ip source 10.0.34.3 0 destination 10.0.145.5 0 


在 92 上 创建 流 分 类 class-voice-s2， 匹 配 ACL3001。 创 建 流行 为 
behaVior-voice-s2 ,将 DSCP 优 先 级 重 标记 为 EF。 


[S2]traffic classifier class-voice-s2 
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[S2-classifier-class-voice-s2]if-match acl 3001 
[S2-classifier-class-voice-s2]traffic behavior behavior-voice-s2 


[S2-behavior-behavior-voice-s2]remark dscp ef 


在 $S2 上 创建 流 分 类 class-video-s2， 匹 配 ACL3002。 创 建 流行 为 
behavior-video-s2， 将 DSCP 优 先 级 重 标记 为 AF32。 


[S2]traffic classifier class-video-s2 
[S2-classifier-class-video-s2] if-match acl 3002 X 
[S2-classifier-class-video-s2]traffic behavior behavior-video-s2 


[S2-behavior-behavior-video-s2]remark dscp af32 


在 S2 上 创建 流 策略 policy-voice-video-s2 ,关联 流 分 类 classsVoice-s2 与 流 
行为 behavior-voice-s2， 关 联 流 分 类 class-video-s2 与 流行 为 
behavior-video-s2， 在 接口 GO/0/3 的 入 方向 上 应 用 该 流 策略 。 


S2]traffic policy policy-voice-video-s2 
S2-trafficpolicy-policy-voice-video-s2]classifier claSs-voice-s2 behavior 
behavior-voice-s2 

S2-trafficpolicy-policy-voice-video-s2]classifier class-video-s2 behavior 
behavior-video-s2 


S2]interface GigabitEthernet 0/0/3 





S2-GigabitEthernet0/0/3]traffic-policy poliey-voice-video-s2 inbound 


步骤 四 . 配置 流量 整形 和 监管 


在 公司 总 部 和 分 部 的 核心 交换 机 上 部 署 流量 整形 ， 绥 解 流量 拥塞 。 
在 S1 的 接口 G0/0/1 出 万 向 :上 配置 流量 整形 ，CIR 设 为 128kbit/s。 


[S1]interface GigabitEthernet 0/0/1 
[S1-GigabitEthernet0/0/1]qos lr outbound cir 128 


ze Z == 
查看 流量 整形 配置 信 息 o 
[Sl]display/ oos lr outbound interface GigabitEthernet 0/0/1 


GigabitEthernet0/0/1 lr outbound: 
cir: 128 KbpSy cbs: 16000 Byte 


在 92 的 接口 GO/0/2 出 方向 上 配置 流量 整形 ，CIR 设 为 128kbit/s。 


RS2] inBerface GigabitEthernet 0/0/2 
[S2-GigabitEthernet0/0/2]qos lr outbound cir 128 
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查看 流 1 t 量 整形 配置 信息 ‘Co 


[S2]display gos lr outbound interface GigabitEthernet 0/0/2 
GigabitEthernet0/0/2 lr outbound: 
cir: 128 Kbps, cbs: 16000 Byte 


在 公司 总 部 和 分 部 的 出 口 路 由 器 上 部 署 流量 监管 ， 进 一 步 缓解 流量 拥塞 。 
在 R1 的 接口 GO/O/IL 入 方向 上 配置 流量 监管 ，CIR 设 为 72kbit/s。 kW 


[Rl]interface GigabitEthernet 0/0/1 
[R1-GigabitEthernet0/0/1]qos car inbound cir 72 


在 R2 的 接口 GO/0/2 入 方向 上 配置 流量 监管 ，CIR 设 为 72Kbitys。 


[R2]interface GigabitEthernet 0/0/2 
[R2-GigabitEthernet0/0/2]qos car inbound cir 72 


步骤 五 .配置 基于 流 策略 的 拥塞 管理 与 拥塞 避免 


在 公司 总 部 与 分 部 的 出 口 路 由 器 上 部 署 基 于 流 策略 的 拥塞 管理 与 拥塞 避免 。 
保证 语音 流量 低 延 迟 ， 优 先 发 送 ， 保 证 视频 流量 拥有 足够 的 带宽 。 


配置 R1 的 接口 G0/0/1 信 任 DSCP 优 先 级 。 


[Rl]interface GigabitEthernet 0/0/1 
[R1-GigabitEthernet0/0/1]trust dsep 


在 R1 上 创建 WRED 丢 弃 模 板 Video-r1， 使 其 基于 DSCP 优 先 级 进行 丢弃 ， 将 
阀 值 下 限 设 为 50， 上 限 设 为 90 ,丢弃 概率 设 为 30 ， 


[R1]drop-profile video 
[R1-drop-profile-video-rljwred dscp 
[Rl-drop-profile-video-Pl]dscp af32 low-limit 50 high-limit 90 


discard-percentáge $80 


在 R1 上 创建 流 分 类 class-af32-r1， 匹 配 DSCP 值 为 AF32 的 视频 流量 。 创 建 
流行 为 beNavior>af32-r1 , 配置 队列 调度 方式 为 AF , 最 大 带宽 占 接口 带宽 
比 设 为 40， 并 与 丢弃 模板 video-r1 绑 定 。 


[R1]tra£fic classifier class-af32-r1 
[BRT«classifier-class-af32-rl]if-match dscp af32 
[Rl-classifier-class-af32-rl]traffic behavior behavior-af32-r1 
[R1-behavior-behavior-af32-r1]queue af bandwidth pct 40 


[Rl-behavior-behavior-af32-rl]drop-profile video-rl 
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在 R1 上 创建 流 分 类 class-ef-rL， 匹 配 DSCP 值 为 EF 的 语音 流量 。 创 建 流行 为 
behavior-ef-r1 ,配置 队列 的 调度 方式 为 EF ,最 大 带宽 占 接口 带宽 百分比 设 为 30。 


[R1]traffic classifier class-ef-rl 
[R1-classifier-class-ef-rl]if-match dscp ef 
[R1-classifier-class-ef-rl]traffic behavior behavior-ef-rl 


[R1-behavior-behavior-ef-rl]queue ef bandwidth pct 30 


在 R1 上 创建 流 策略 policy-rl， 关 联 流 分 类 class-af32-r1 与 流行 为 
behavior-af32-r1 ,关联 流 分 类 class-ef-r1 与 流行 为 behavior-eft ri ,并 在 接口 
S1/0/0 的 出 方向 上 应 用 。 


[R1]traffiG policy policy-rl 

[Rl-trafficpolicy-policy-rl]classifier class-af32-rl behavior behavior-af32-r1 
[Rl-trafficpolicy-policy-rl]classifier class-ef-rl beh@vi® behavior-ef-rl 
[R1-trafficpolicy-policy-rl]interface Serial 1/0/0 
[R1-Seriall/0/0]traffic-policy policy-rl outbound 


在 公司 总 部 R1 上 配置 完 后 ， 人 在 公司 分 部 R2 上 上 也 作 相 应 配置 。 
配置 R2 的 接口 GO/0/2 信 任 DSCP 优 先 级 6 


[R2]interface GigabitEthernet 0/0/2 
[R2-GigabitEthernet0/0/2]trust dscp 


fER2 EG WREDZEZrSitvideo-r2 , RS DC OR tre , 将 
ME FER1S223950 , EBRIRA90 , KARKA , 
[R2]drop-profile video-r2 
[R2-drop-profile-video-r2]wred@dscp 
[R2-drop-profile-video-r2]d&ep af32 low-limit 50 high-limit 90 


discard-percentage 30 


在 R1 上 创建 流 分 类 class-af32-r2， 匹 配 DSCP 值 为 AF32 的 视频 流量 。 创 建 
流行 为 behavidr-af32-r2， 配 置 队列 调度 方式 为 AF， 最 大 带宽 占 接口 带宽 百 分 
比 设 为 40， 并 与 丢弃 模板 video-r2 绑 定 。 


[R2]traffie classifier class-af32-r2 
[R2-classifier*class-af32-r2]if-match dscp af32 
[R2-classifier-class-af32-r2]traffic behavior behavior-af32-r2 
[R2-behawior-behavior-af32-r2]queue af bandwidth pct 40 


LR2-behavior-behavior-af32-r2]drop-profile video-r2 


在 RL 上 创建 流 分 类 class-ef-r2， 匹 配 DSCP 值 为 EF 的 语音 流量 。 创 建 流行 为 
behavior-ef-r2 ,配置 队列 的 调度 方式 为 EF ,最 大 带宽 占 接 口 带 宽 百 分 比 设 为 30。 
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[R2]traffic classifier class-ef-r2 
[R2-classifier-class-ef-r2]if-match dscp ef 
[R2-classifier-class-ef-r2]traffic behavior behavior-ef-r2 


[R2-behavior-behavior-ef-r2]queue ef bandwidth pct 30 


在 R1I 上 创建 流 策略 policy-r2， 关 联 流 分 类 class-af32-r2 与 流行 为 
behavior-af32-r2 ,关联 流 分 类 class-ef-r1 与 流行 为 behavior-ef-r2 ,并 在 接口 
S1/0/0 的 出 方向 上 应 用 。 X 


[R2]traffic policy policy=r2 

[R2-trafficpolicy-policy-r2]classifier class-af32-r2 behavior beNafigt-af32-r2 
[R2-trafficpolicy-policy-r2]classifier class-ef-r2 behavior hehavhor-ef-r2 
[R2]interface Serial 1/0/0 


[R2-Seriall/0/0]traffic-policy policy-r2 outbound 


步骤 六 . ”配置 基于 流 策略 实现 流行 为 控制 


公司 总 部 现在 出 于 优化 的 的 目的 将 针对 部 分 流量 做 控制 ,丢弃 掉 UDP 端 口号 
4000 至 5000 部 分 的 视频 流量 。 

在 RI 上 创建 ACL3003， 匹 配 从 R5 去 往 R3 孙 UDP 端口 范围 为 4000 至 5000 部 
分 的 流量 。 
[R1]acl number 3003 


[R1-acl-adv-3003]rule 0 permit udp source-port range 4000 5000 source 10.0.145.5 
0 destination 10.0.34.3 0 


在 R1 上 创建 流 分 类 classsdrop， 匹 配 ACL3003 , 


[Rl]traffic classifier Glasssarop 


[R1-classifier-class-dmoepjif-match acl 3003 


在 RL 上 创建 流行 为 behavior-drop， 配 置 命 令 deny ， 执行 禁止 动作 , 


[R1]traffic behavior behavior-drop 


[Rl-behavior*behavior-drop]deny 


在 RL 上 创建 流 策略 policy-drop， 关 联 流 分 类 class-drop 与 流行 为 
behavior-drop， 并 在 接口 G0/0/5 的 入 方向 上 应 用 。 
[Btraffic policy policy-drop 
HRl-tra£ficpolicy-policy-drop]classifier class-drop behavior behavior-drop 
[R1-tráfficpolicy-policy-drop]interface GigabitEthernet 0/0/1 
PR1-GigabitEthernet0/0/1]traffic-policy policy-drop inbound 
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查看 配置 信息 。 


[R1]dis traffic policy user-defined policy-drop 
User Defined Traffic Policy Information: 
Policy: policy-drop 
Classifier: class-drop 
Operator: OR 
Behavior: behavior-drop 


Deny 


附加 实验 : 思考 并 验证 








实验 完成 后 ， 回 顾 Qos 的 知识 框架 ,总结 Qos 中 各 项 策略 的 使 用 范围 与 应 用 


场景 。 


最 终 设备 配置 


<R1>display current-configuration 
[V200R001C00SPC200] 

# 

sysname R1 

# 

acl number 3003 


rule 0 permit udp source 10.0.145.54,0 source-port range 4000 5000 destination 


10.0.34.3 0 
# 
drop-profile video-r1 


wred dscp 


dscp af32 low-limit®$0 figh-limit 90 discard-percentage 30 


traffic classifier Chass-drop operator or 
if-match acl 3003 

traffic classifier class-ef-rl operator or 
if-match dšcp ef 

traffigselassifier class-af32-rl operator or 


if-match dëen af32 





traffPe behavior behavior-af32-r1 
queue af bandwidth pct 40 
drop-profile video-r1 


traffic behavior behavior-ef-r1 
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queue ef bandwidth pct 30 

traffic behavior behavior-drop 

deny 

# 

traffic policy policy-drop 

classifier class-drop behavior behavior-drop 
traffic policy policy-rl 

classifier class-af32-rl behavior behavior-af32-r1 4 
classifier class-ef-rl behavior behavior-ef-r1 

# 

interface Seriall/0/0 

link-protocol ppp 

ip address 10.0.12.1 255.255.255.0 

traffic-policy policy-rl outbound 

# 

interface GigabitEthernet0/0/1 

ip address 10.0.145.1 255.255.255.0 

trust dscp 

qos car inbound cir 72 cbs 13536 pbs 22536 greem,pass yellow pass red discard 
traffic-policy policy-drop inbound 

# 

ip route-static 10.0.34.0 255.255.255.0f197.9.12.2 
# 


return 


<R2>display current-configuration 
[V200R001C00SPC200] 
# 
sysname R2 
# 
drop-profile video-r2 
wred dscp 
dscp af32 low-4Tmit 50 high-limit 90 discard-percentage 30 
# 
traffic classifier ‘Wlass-ef-r2 operator or 
if-match dscp ef 
traffic clasSifiér class-af32-r2 operator or 
if-mafcrNdscp af32 
# 
tza£fic behavior behavior-af32-r2 
queue af bandwidth pct 40 
drop-profile video-r2 


traffic behavior behavior-ef-r2 
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queue ef bandwidth pct 30 

# 

traffic policy policy-r2 

classifier class-af32-r2 behavior behavior-af32-r2 

classifier class-ef-r2 behavior behavior-ef-r2 

# 

interface Seriall/0/0 

link-protocol ppp 4 
ip address 10.0.12.2 25595255.2955.0 

traffic-policy policy-r2 outbound 

# 

interface GigabitEthernet0/0/2 

ip address 10.0.34.2 255,.255.255.0 

trust dscp 

qos car inbound cir 72 cbs 13536 pbs 22536 green pass (yellow pass red discard 
# 

ip route-static 10.0.145.0 255.255.255.0 10.0.12.1 

# 


return 


<R3>display current-configuration 
[V200R001C00SPC200] 

# 

sysname R3 

# 

interface GigabitEthernet0/0/2 

ip address 10.0.34.3 255.255.255.0 

# 

ip route-static 0.0.0.040@/0.0.-W 10.0.34.2 
# 


return 


<R4>display current-configuration 
[V200R001C00SPC200] 

# 

sysname R4 

# 

interfacesGigabitEthernet0/0/1 

ip add&ess A0.0.145.4 255.255.255.0 

# 

ip route-static 0.0.0.0 0.0.0.0 10.0.145.1 
# 


return 
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<R5>display current-configuration 
[V200R001C00SPC200] 

# 

sysname R5 

# 

interface GigabitEthernet0/0/1 

ip address 10.0.145.5 255.255.255.0 NW 
# 
ip route-static 0.0.0.0 0.0.0.0 10.0.145.1 
# 


return 


<S1>display current-configuration 

# 

!Software Version V100R006C00SPC800 

sysname S1 

# 

acl number 3001 

rule 0 permit ip source 10.0.145.4 0 destination 10.0.34.3 0 
acl number 3002 

rule 0 permit ip source 10.0.145.5 0 destination 10.0.34.3 0 
# 

traffic classifier class-video-sl @perater and 
if-match acl 3002 

traffic classifier class-voice-sl operator and 
if-match acl 3001 

# 

traffic behavior behavio&videOWsl 

remark dscp af32 

traffic behavior behayTtor-voice-s1 

remark dscp ef 

# 

traffic policy policysvideo-sl 

classifier ,class-v$deo-sl behavior behavior-video-sl 
traffic policy policy-voice-s1l 

classifier ChasS-voice-sl behavior behavior-voice-sl 
# 

interfaee GigabitEthernet0/0/1 

gos. lr outbound cir 128 cbs 16000 

# 

interface GigabitEthernet0/0/4 


traffic-policy policy-voice-sl inbound 
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# 

interface GigabitEthernet0/0/5 
traffic-policy policy-video-sl inbound 
# 


return 


<S2>display current-configuration 

; x 
! Software Version V100R006C00SPC800 

sysname S2 

# 

acl number 3001 

rule 0 permit ip source 10.0.34.3 0 destination 10.0.145.4.0 
acl number 3002 

rule 0 permit ip source 10.0.34.3 0 destination 10.0.1$4575.0 
# 

traffic classifier class-video-s2 operator and 

if-match acl 3002 

traffic classifier class-voice-s2 operator and 

if-match acl 3001 

# 

traffic behavior behavior-video-s2 

remark dscp af32 

traffic behavior behavior-voice-s2 

remark dscp ef 

# 

traffic policy policy-voice-video-s2 

classifier class-voice-s2 behavior behavior-voice-s2 
classifier class-video-$2/behaWior behavior-video-s2 

# 

interface GigabitEthernet0/0/2 

qos lr outbound cir 128 cbs 16000 

# 

interface GigabDitEthet*net0/0/3 

traffic-policy polħćy-voice-video-s2 inbound 

# 


return 


<S3>display current-configuration 

# 

"Softwase Version V100R006C00SPC800 
sysname $3 

T 
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interface Vlanifl 


ip address 10.0.145.3 255.255.255.0 


# 

ip route-static 0.0.0.0 0.0.0.0 10.0.145.1 

# 

return 

<S4>display current-configuration NW 
# 


!Software Version V100R006C00SPC800 
sysname S4 

# 

interface Vlanifl 

ip address 10.0.34.4 255.255.255.0 

# 

ip route-static 0.0.0.0 0.0.0.0 10.0.34.2 
# 


return 
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第 三 章 综合 实验 
实验 3-1 综合 实验 1 ( 选 做 ) 
学 习 目 的 < 


° ”掌握 MST 的 配置 方法 

° ”掌握 VLAN| 间 路 由 的 配置 方法 
° ”掌握 RIP 的 配置 方法 

。 ”掌握 OSPF 的 配置 方法 

e ”掌握 路 由 引入 的 配置 方法 

。 ”掌握 路 由 策略 的 配置 方法 

e ”掌握 防火 墙 的 配置 方法 

e ”掌握 交换 机 上 QOS 的 配置 方法 
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拓扑 图 
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3-1 综合 实验 1 ( 选 做 ) 


你 是 公司 的 网 络 管理 员 。 公 司 的 网 络 由 一 个 总 部 网 络 区 域 ， 一 个 分 部 网 络 区 
域 和 一 个 分 支 办 公 室 网 络 区 域 组 成 。 


其 中 总 部 网 络 区 域 由 一 人 台 防 火 墙 、 一 台 路 由 器 和 四 人 台 交 换 机 组 成 。 防 火 墙 控 
制 公 司 内 部 网 络 与 外 部 网 络 之 间 的 互 访 ， 将 网 络 划分 为 Trust、Untrust 和 DMZ 
三 个 区 域 。 四 台 交 换 枯 使 用 MST 技 术 实现 网 络 元 余 ， 提 高 网 络 可 靠 性 。 并 使 用 
QOS 技 术 在 交换 网 络 卡 对 数据 流 进行 优化 。 


总 部 网 络 和 分 支 办 公 室 网 络 的 路 由 器 使 用 专线 相连 ， 同 处 于 OSPF 路 由 域 中 。 
为 了 优化 OSPF 路 由 域 将 总 部 网 络 和 分 支 办 公 室 网 络 配置 为 ODSPF 末 节 区 域 型 网 
络 。 由 于 分 文 机 构 使 用 的 网 络 协议 为 RIP， 需 要 在 OSPF 边 界 使 用 路 由 引入 ， 以 实 
现 RIP 路 由 域 和 和 OSPF 路 由 域 的 互通 。 


学 习 任 务 
由 于 本 综合 实验 的 目的 在 于 检测 学 员 对 前 面 实验 学 习 掌 握 的 程度 ,所 以 仅 给 
出 大 概 步骤 和 验证 方式 ， 不 给 出 具体 的 操作 命令 。 
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步骤 一 .基础 配置 与 IP 编 址 


给 所 有 设备 配置 IP 地 址 和 掩 码 ， 配 置 完成 后 测试 直 连 设备 的 连通 性 。 


步骤 二 . MST 配置 Ç 


交换 机 S1 与 $2 之 间 连 线 为 Eth-trunk 链 路 。 


将 交换 机 与 交换 机 之 间 连 线 的 接口 模式 改 为 Trunk 模 式 ， 并 人 允许 VLAN 
10/20/30 和 40 通 过 。 


在 所 有 交换 机 上 都 创建 VLAN 10、20、30、40、100， 同 时 配置 MST 生 成 
两 个 实例 。VLAN 10. VLAN 20 和 VLAN 100LAS139f8 , VLAN 30 和 VLAN 40 
以 S52 为 根 。 


步骤 三 。 VLAN 间 路 由 配置 


将 51 的 G0/0/22 和 G0/0/1 接 国 加 入 VLAN 100 , 将 5S2 的 G0/0/1 接 口 加 入 
VLAN 10, 


在 Sl 和 S2 上 为 VLAN 10、s20、30、40 创 建 相应 Vlanif 接 口 ， 实现 VLAN 间 
通信 。 


步骤 四 . OSPF 配置 


在 R1I、R2、R3、R4 和 Sl1、S2 上 配置 OSPF 路 由 协议 。 将 Rl1 和 R2 之 间 的 链 路 
配置 属于 QSPF 区 域 0。 总 部 网 络 配 置 属于 OSPF 区 域 1， 分 支 办 公 室 网 络 配 置 属 
于 OSPF 区 域 2， 同 时 将 区 域 1 和 区 域 2 配 置 为 OSPF 末 节 区 域 。 将 R2 与 R3 相 连 网 
络 配 置 属于 区 域 3 ,并 将 区 域 3 配置 为 NSSA 区 。R1 连 接 FW1 的 网 络 不 运行 OSPF。 
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步骤 五 .。 路 由 引入 配置 


在 R3 和 R5 上 配置 RIP 路 由 协议 。 在 R3 上 使 用 路 由 引入 ， 配 置 RIP 路 由 域 和 
OSPF 路 由 域 互 相 引 入 ， 实 现 RIP 路 由 域 和 和 OSPF 路 由 域 之 间 的 互通 。 在 将 RIP 路 
由 引入 OSPF 路 由 域 的 时 候 使 用 路 由 策略 控制 只 引入 R5 连 接 的 网 络 ， 而 不 把 R3 
与 R2 直 接 的 网 络 引 入 OSPF 路 由 域 。 

x 


在 FW1 上 创建 VLAN 100 及 相应 的 Vlanif 接 口 ， 并 按照 拓扑 图 所 示 配 置 IP 地 
址 。 在 RL 上 配置 一 条 缺 省 路 由 ， 下 一 跳 地 址 为 FW1 的 VIanif 100 接 固 地 址 。 同 
时 将 这 条 路 由 信息 引入 OSPF， 并 让 R5 学 习 到 |。 


同时 在 FW1 上 创建 静态 路 由 10.0.0.0/16 , 下 一 跳 地 址 为 RI 的 G0/0/1 接 口 地 
址 。 使 FW1 能 够 和 企业 内 网 所 有 设备 通信 。 


步骤 六 .防火 墙 配置 
按 拓扑 图 所 示 ,将 FW1 上 相应 端口 分 别 加 入 Trust、Untrust 和 DMZ 区 域 中 。 


实现 Trust 区 域 可 以 访问 所 有 区 域 的 内 容 ，Untrust 区 域 只 能 访问 DMZ 区 域 中 的 
服务 器 10.0.20.1 的 80 号 端口 。DMZ 区 域 不 能 主动 访问 所 有 区 域 。 


ZU. ”网络 优化 配置 


连接 在 交换 机 S4 上 的 用 户 有 些 需要 限制 数据 传输 速度 ,有 些 需要 提高 数据 传 
输 优先 级 。E0/0/1 接 加 属于 VLAN 10，E0/0/2 属 于 VLAN 30。 请 将 S4 的 E0/0/1 
接口 传输 速度 限制 为 28Kb。 将 E0/0/2 接 口 的 报 文 DSCP 值 修改 为 45， 并 设置 
E0/0/2 信 任 报 文 的 DSCP 值 。 


附加 实验 : 思考 并 验证 


综合 实验 更 贴近 实际 场景 ， 对 比 之 前 的 实验 与 这 个 实验 ， 简 述 有 哪些 差异 。 
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[R1]display 


[R2]display 


[R3]display 


[R4]display 


[R5]display 


[S1]display 


[S2]display 


[S3]display 


[S4]display 


current-configuration 


current-configuration 


current-configuration 


current-configuration 


current-configuration 


current-configuration 


current-configuration 


current-configuration 


current-configuration 


[FW1]display current-configuration 
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实验 3-2 综合 


yi 
i 

N 
E 
== 


实验 目标 


° ”掌握 IBGP ，EBGP 的 配置 方法 

° ”掌握 BGP 属 性 的 配置 方法 

° ”掌握 SEP 的 配置 方法 

° ”掌握 USG 防 火 墙 上 NAT ,IPSec 的 配置 方法 
e ”掌握 路 由 器 上 端 到 端 QoSs 的 配置 方法 


--------------------------------~、 
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图 3-2 综合 实验 2 ( 选 做 ) 
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场景 


你 是 公司 的 管理 员 。 公 司 总 部 与 分 部 之 间 使 用 BGP 协 议 通过 两 个 不 同 的 运营 
商 ISP1，ISP2 相 连 ， 其 中 公司 总 部 使 用 AS 号 100 ,分 部 使 用 AS 号 200 , ISP1RS 
AS 号 为 1, ISP2 的 AS 号 为 2。 


公司 使 用 ISP1 作 为 主 用 链 路 ，ISP2 作 为 备用 链 路 。 公 司 总 部 的 核心 交换 网 与 
出 口 路 由 器 之 间 部 署 了 USG 防 火 墙 ， 交 换 网 络 中 使 用 SEP 协 议 提供 宛 余 各 护 , 公 
司 总 部 与 分 部 的 防火 墙 之 间 建 YIPsec VPN, 


学 习 任务 


步骤 一 .基础 配置 与 IP 编 址 


给 所 有 路 由 器 配置 物理 接口 及 Loopback 接 口 的 IP 地 址 和 掩 码 ,配置 完成 后 ， 
测试 直 连 链 路 的 连通 性 。 注 意 各 Loopback 0 接口 均 使 用 32 位 掩 码 。 


步骤 二 . 配置 BGP 


fER1 , R2 , R3 , R4, RSEBCSIBGPSSEBGP , 全 部 使 用 物理 接口 地 址 建立 
对 等 体 关 系 ，AS 规 划 如 图 所 示 。 由 于 默认 情况 下 ，BGP 的 负载 分 担 是 关闭 的 ， 
为 了 避免 影响 选 路 ， 在 所 有 的 路 由 器 上 打开 负载 分 担 ， 设 置 为 最 大 4 条 路 径 。 


在 R1 Ri ,R5 上 将 各 自 的 环 回 接口 地 址 所 在 的 网 段 发 布 进 BGP 中 ,查看 BGP 
路 由 表 ， 此 时 R5 都 是 通过 R3 学 习 到 12.0.1.1/32 与 12.0.2.2/32 ，R1 从 R4 学 习 到 
12.0.5.5/32 ，R2 从 R3 学 习 到 12.0.5.5/32。 


现在 希望 公司 总 部 与 分 部 之 间 的 通信 全 部 使 用 ISP1 的 主 用 链 路 。 


在 R5 上 创建 路 由 策略 as_path， 针 对 从 对 等 体 R3 学 习 到 的 12.0.1.1/32 与 
12.0.2.2/32 这 两 条 路 由 的 AS-PATH 属 性 ， 增 加 2 个 重复 的 As 号 100。 查 看 BGP 
路 由 表 ,此 时 R5 从 R4 学 习 到 这 两 条 路 由 。 


在 RL 上 创建 路 由 策略 local_pref， 将 路 由 12.0.5.5/32 的 本 地 优先 级 属性 修 
改 为 200， 然 后 将 策略 应 用 到 IBGP 对 等 体 R2 上 。 观 察 R2 上 的 路 由 表 ， 此 时 R2 选 
择 从 R4 学 习 路 由 12.0.5.5/32。 
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步骤 三 . 配置 SEP 
为 了 提升 网 络 的 健壮 性 ， 交 换 机 S1、S2 和 S3 采 用 了 宛 余 连 接 。 在 连接 中 形 
成 了 一 个 闭合 环 路 。 使 用 SEP 协 议 为 这 个 网 络 环 路 提供 元 余 保 护 。 


关闭 Sl1，S2 的 G0/0/9，G0/0/10 接 口 ，S3 的 E0/0/23 接 口 ， SABgÉQ/0/14 
接口 ， 避 免 对 实验 造成 影响 。 


创建 SEP 段 ， 并 配置 控制 YLAN100 和 指定 保护 实例 为 all。 


将 S51 的 G0/0/13，G0/0/14 接 口 加 入 SEP 段 ,将 G0/0/13 设 为 主 边缘 接口 ， 
G0/0/14 设 为 副 边缘 接口 ， 将 S3 和 S4 的 接口 都 加 入 SER 段 。 


在 主 边 缘 接 口 位 于 的 设备 S1 上 配置 阻塞 端 加 的 方式 为 依据 端口 优先 级 。 
配置 $3 上 的 接口 E0/0/1 的 优先 级 为 128。 
在 主 边缘 端口 位 于 的 设备 S1 上 配置 抢占 模式 为 延 时 抢占 ， 延 时 为 30s。 


配置 完成 后 ， 查 看 SEP 运 行 信息 ，S3 的 E0/0/1 接 口 应 该 为 阻塞 状态 。 


步骤 四 . 配置 防火 墙 NAT 
在 公司 总 部 的 核心 交换 网 与 出 口 路 由 器 之 间 的 防火 墙 FW1 上 做 配置 ， 实 现 
NAT, 


在 S1 上 创建 YLAN10， 将 接口 G0/0/22 加 入 VLAN10 中 ， 配 置 Vlanif10 地 址 
为 1000.1111/24。 在 FW1 上 配置 VLAN10， 定义 Vlanif10， 配 置 IP 地 址 作为 
Trust 区 域 的 网 关 ， 使 用 IP 地 址 10.0.111.21/24。 另 外 由 于 默认 情况 下 防火 墙 会 
给 它 的 Vlanif1 配 置地 址 ， 实验 中 为 避免 干扰 ， 删除 该 配置 。 


在 R2 上 将 路 由 12.0.112.0/24 发 布 进 BGP。 在 R2 上 配置 默认 路 由 ， 下 一 跳 指 
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向 FW1 ,并 引入 BGP 中 ， 在 FW1 上 配置 默认 路 由 ， 下 一 跳 指向 R2， 在 S1 上 配置 
默认 路 由 ， 下 一 跳 指 向 FW1。 


在 FW1 上 将 接口 E0/0/0 配 置 到 Untrust 区 域 ， 将 接口 E1/0/0 配 置 到 Trust 区 
域 ， 配 置 区 域 间 的 安全 过 滤 ， 从 Trust 区 域 的 网 段 10.0.111.0/24 发 往 Untrust 区 
域 的 数据 包 被 放行 。 
NW 


在 FW1 配 置 使 用 Easy-IP， 针 对 10.0.111.0/24 进 行 NAT 源 地 址 转换 。 并 且 将 
NAT 与 接口 EO/0/0 进 行 绑 定 。 


配置 完成 后 ,FW1 上 的 Trust 区 域 的 网 段 与 Untrust 区 域 的 网 段 可 以 正常 访问 。 


步骤 五 .配置 防火 墙 IPsec VPN 


在 公司 总 部 与 分 部 的 防火 墙 [W1 与 FW2 之 间 实 现 IPSec VPN, 


配置 防火 墙 FW2 的 Ethernet 2/0/0 的 接口 地 址 。 在 I[W2 上 ， 将 E0/0/0 加 入 
到 Untrust 区 域 ， 将 E2/0/0 加 入 到 Trust 区 域 : 在 FW1 和 FW2 上 配置 从 Trust 区 域 
发 往 Untrust 区 域 的 数据 包 被 放行 . 欠 Uftrust 区 域 发 往 Local 区 域 的 数据 包 被 放 


行 。 


将 路 由 12.0.5.0/24 发 布 进 BGP， 在 FW2 上 配置 默认 路 由 ， 下 一 跳 指向 R5 , 
在 FW1 上 配置 去 往 12.0.222.0/24 的 静态 路 由 ， 在 FW2 上 配置 去 往 
10.0.111.0/24 的 静态 路 由 。 


在 FW1 和 FW2 让 定义 各 自 要 保护 的 数据 流 。 在 FW1 上 配置 ACL3000， 匹配 
从 10.0.111.0/24 去 往 12.0.222.0/24 的 流量 ， 在 FW2 上 配置 ACL3000, 匹 配 从 
12.0.222.0/24 去 往 10.0.111.0/24 的 流量 。 


在 防火 墙 FW1 和 FW2 上 配置 IPSec 安全 提议 。IPsec 协 议 的 封装 模式 为 隧道 
模式 ，IPsec 的 安全 协议 为 ESP，ESsP 协 议 的 加 密 算法 为 DES。 在 防火 墙 FW1 和 
EW2 小 配置 IKE 安 全 提议 ，IKE 的 认证 算法 为 SHA1 ,加 密 算 法 为 DES。 


在 防火 墙 FW1 和 FW2 上 配置 KE 对 等 体 IKE 对 等 体 默认 使 用 KEv2 协 商 方式 。 
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在 防火 墙 FW1 和 FW2 上 配置 安全 策略 。 并 在 防火 墙 FW1 和 FW2 的 接口 
E0/0/0 上 应 用 安全 策略 。 


此 时 FW1 与 FW2 之 间 的 IPSec VPN 建 立 。 
X 
步骤 六 . 配置 Qos 
公司 总 部 R1，R2 与 分 部 R5 之 间 的 流量 全 部 从 ISP1 的 主 用 链 路 走 ， 部 署 QoS 
来 避免 可 能 出 现 的 拥塞 。 
在 R1 上 创建 ACL3001 ,3002 分 别 匹 配 从 R1 去 往 R5 和 R2 去 往 R5 的 流量 ， 


在 R1 上 创建 流 分 类 class_r1l r2 , ULBEGACL3001 , 3002 , 创建 流行 为 
behavior_r1_r2 ,配置 流量 整形 动作 ,CIR 设 为 10000 ,创建 流 策略 policy_rl_r2 , 
关联 流 分 类 class_r1_r2 和 流行 为 behaviorrlsr2， 并 在 接口 GO/0/2 的 出 方向 
上 应 用 。 


在 R4 的 接口 G0/0/2，G0/0/1 上 配置 基于 接口 的 流量 监管 ,，CIR 设 为 8000。 
在 R5 上 创建 ACL3001，3002 分 别 匹配 从 R5 去 往 R1 和 R5 去 往 R2 的 流量 ， 


在 R5 上 创建 流 分 类 classr5， 匹 配 ACL3001 ，3002 ,创建 流行 为 
behavior_r5， 配 置 流量 整形 动作 ，CIR 设 为 10000 , 创建 流 策略 policy_r5 , 关 
联 流 分 类 class_r5 和 流行 为 behavior_r5， 并 在 接口 G0/0/1 的 出 方向 上 应 用 。 


附加 实验 ~ 思考 并 验证 


最 终 设备 配置 


[Rb] display current-configuration 
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[R2]display 


[R3]display 


[R4]display 


[R5]display 


[S1]display 


[S2]display 


[S3]display 


[S4]display 


current-configuration 


current-configuration 


current-configuration 


current-configuration 


current-configuration 


current-configuration 


current-configuration 


current-configuration 


[FW1]display current-configuration 
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` ` 
在 线 学 习 资 料 支 持 
您 可 以 在 华为 企业 业务 网 站 获得 ELearning 课 程 、 培 训 教材 、 产 品 资料 、 软 件 工具 、 技 术 案 例 等 : 
1、E-Learning 课 程 : XR EZ ZEE. VEN "AE I" HB 
免费 E-Learning 课 : 对 网 站 所 有 用 户 免费 开放 
职业 认证 E-Learning 课 : 通过 任何 一 项 职业 认证 即 可 学 习 所 有 职业 认证 培训 E-Learning 课 程 
渠道 赋 能 E-Learning 课 : 对 华为 企业 业务 合作 伙伴 免费 开放 
2、 培 训 教材 : SREAZAF IT Mi, tr “EHME” , EARN AAA PRAMS 
华为 职业 认证 培训 教材 、 华 为 产品 技术 培训 教材 。 无 需 注册 即 可 下 载 
3、 华 为 在 线 公 开课 (LVC): http://support.huawei.com/ecommunity/bbs/10154479.html 
企业 网 络 、UC&C、 安 全 、 存 储 等 诸多 领域 的 职业 认证 课程 ， 华 为 讲师 公开 授课 
4、 产 品 资料 下 载 : SE EE cV 二 
5. RHIAPR: http://support.huawei.com/enterprise/#tabname=softwaredewnload 











更 多 内 容 请 访问 : 
o http://learning.huawei.com/cn 
a http://support.huawei.com/enterprise/ 
o http://support.huawei.com/ecommunity/ 
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